(ร่าง) ระเบียบ กองทัพบก · (ร่าง)...

40
(ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก พ.ศ.๒๕๕๔ -------------------------------- เพื่อให้การรักษาความปลอดภัยระบบสารสนเทศของกองทัพบกเป็นไปด้วยความเรียบร้อย และมีประสิทธิภาพ จึงวางระเบียบไว้ ดังต่อไปนีข้อ ๑ ระเบียบนี้เรียกว่า ระเบียบกองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของ กองทัพบก พ.ศ.๒๕๕๔ข้อ ๒ ระเบียบนี้ให้ใช้บังคับตั้งแต่บัดนี้เป็นต้นไป ข้อ ๓ บรรดาระเบียบและคาสั่งอื่นใดในส่วนที่กาหนดไว้แล้ว ซึ่งขัดหรือแย้งกับระเบียบนี้ให้ใช้ระเบียบนี้แทน โดยยึดถือให้อยู่ภายใต้ พระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ ภาครัฐ พ.ศ. ๒๕๔๙ และกรอบนโยบายด้านการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ กระทรวงกลาโหมที่ได้ประกาศขึ้น ข้อ ๔ ระเบียบนี้ให้ใช้บังคับแก่ส่วนราชการ ข้าราชการ พนักงานข้าราชการและลูกจ้าง ที่มีการปฏิบัติเกี่ยวกับ ระบบสารสนเทศ รวมทั้งบุคคลภายนอกที่เข้ามาดาเนินการเกี่ยวกับระบบสารสนเทศของกองทัพบก ข้อ ๕ คานิยามในระเบียบนี(๑) ระบบสารสนเทศ ( Information System) หมายความว่า ระบบข่าวสารของ กองทัพบก ที่นาเอาเทคโนโลยีของระบบคอมพิวเตอร์และระบบสื่อสาร มาช่วยในการสร้างสารสนเทศของ กองทัพบก และสามารถนาสารสนเทศมาใช้ในการวางแผน การบริหาร การพัฒนา ควบคุม รวมทั้งแนวทางหรือ ระเบียบปฏิบัติในการใช้อุปกรณ์เหล่านี้ ซึ่งมีองค์ประกอบดังนี(๑.๑) ระบบคอมพิวเตอร์(Computer System) หมายถึง ระบบที่ประกอบด้วย ฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) และบุคลากรทางคอมพิวเตอร์ (People ware) (๑.๒) เครือข่ายคอมพิวเตอร์ (Computer Network) หมายความว่า การ ติดต่อสื่อสาร หรือการรับ-ส่งข้อมูลระหว่างระบบสารสนเทศภายในกองทัพบกและหน่วยงานอื่นๆ ที่เกี่ยวข้อง กับกองทัพบก (๑.๓) สารสนเทศ (Information) ข้อเท็จจริงที่ได้จากการสกัดข้อมูลให้มีความหมาย โดยผ่านการประมวลผล การจัดระเบียบให้ข้อมูลซึ่งอาจอยู่ในรูปของ ตัวเลข ข้อความหรือ ภาพกราฟฟิกที่ผู้ใช้ สามารถเข้าใจได้ง่ายและสามารถนาไปใช้ประโยชน์ในการบริหารการวางแผนการตัดสินใจ และอื่น ๆ (๒) จดหมายอิเล็กทรอนิกส์ (Electronic Mail: E-mail) หมายถึง การรับส่งข้อมูลผ่าน อินเทอร์เน็ตหรืออินทราเน็ต โดยชื่อที่ใช้ในการรับส่งจดหมายอิเล็กทรอนิกส์ จะมีรูปแบบซึ่งประกอบไปด้วย ๒ ส่วน คือ ชื่อผู้ใช้ และชื่อโดเมน เช่น [email protected] เป็นต้น (๓) ผู้ใช้งาน (User) หมายถึง ข้าราชการ พนักงานราชการ และลูกจ้างของกองทัพบกทีปฏิบัติงานเกี่ยวกับระบบสารสนเทศกองทัพบก รวมถึงบุคคลภายนอกที่เข้ามาดาเนินการเกี่ยวกับระบบ สารสนเทศของกองทัพบก (๔) ผู้ดูแลระบบ (System Administrator) หมายถึง นายทหารสัญญาบัตรที่ปฏิบัติงานใน ระบบสารสนเทศของกองทัพบกหรือผู้ที่ได้รับมอบหมายจากผู้บังคับบัญชาให้เป็นผู้ดูแลระบบสารสนเทศของ หน่วยงานนั้นๆ

Transcript of (ร่าง) ระเบียบ กองทัพบก · (ร่าง)...

Page 1: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

(ราง) ระเบยบ กองทพบก

วาดวยการรกษาความมนคงปลอดภยระบบสารสนเทศของกองทพบก พ.ศ.๒๕๕๔

--------------------------------

เพอใหการรกษาความปลอดภยระบบสารสนเทศของกองทพบกเปนไปดวยความเรยบรอยและมประสทธภาพ จงวางระเบยบไว ดงตอไปน ขอ ๑ ระเบยบนเรยกวา “ระเบยบกองทพบก วาดวยการรกษาความมนคงปลอดภยระบบสารสนเทศของกองทพบก พ.ศ.๒๕๕๔” ขอ ๒ ระเบยบนใหใชบงคบตงแตบดนเปนตนไป ขอ ๓ บรรดาระเบยบและค าสงอนใดในสวนทก าหนดไวแลว ซงขดหรอแยงกบระเบยบนใหใชระเบยบนแทน โดยยดถอใหอยภายใต พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙ และกรอบนโยบายดานการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศกระทรวงกลาโหมทไดประกาศขน ขอ ๔ ระเบยบนใหใชบงคบแกสวนราชการ ขาราชการ พนกงานขาราชการและลกจาง ทมการปฏบตเกยวกบระบบสารสนเทศ รวมทงบคคลภายนอกทเขามาด าเนนการเกยวกบระบบสารสนเทศของกองทพบก ขอ ๕ ค านยามในระเบยบน (๑) ระบบสารสนเทศ (Information System) หมายความวา ระบบขาวสารของกองทพบก ทน าเอาเทคโนโลยของระบบคอมพวเตอรและระบบสอสาร มาชวยในการสรางสารสนเทศของกองทพบก และสามารถน าสารสนเทศมาใชในการวางแผน การบรหาร การพฒนา ควบคม รวมทงแนวทางหรอระเบยบปฏบตในการใชอปกรณเหลาน ซงมองคประกอบดงน (๑.๑) ระบบคอมพวเตอร(Computer System) หมายถง ระบบทประกอบดวยฮารดแวร (Hardware) ซอฟตแวร (Software) และบคลากรทางคอมพวเตอร (People ware) (๑.๒) เครอขายคอมพวเตอร (Computer Network ) หมายความวา การตดตอสอสาร หรอการรบ-สงขอมลระหวางระบบสารสนเทศภายในกองทพบกและหนวยงานอนๆ ทเกยวของกบกองทพบก (๑.๓) สารสนเทศ (Information) ขอเทจจรงทไดจากการสกดขอมลใหมความหมายโดยผานการประมวลผล การจดระเบยบใหขอมลซงอาจอยในรปของ ตวเลข ขอความหรอ ภาพกราฟฟกทผใชสามารถเขาใจไดงายและสามารถน าไปใชประโยชนในการบรหารการวางแผนการตดสนใจ และอน ๆ (๒) จดหมายอเลกทรอนกส (Electronic Mail: E-mail) หมายถง การรบสงขอมลผานอนเทอรเนตหรออนทราเนต โดยชอทใชในการรบสงจดหมายอเลกทรอนกส จะมรปแบบซงประกอบไปดวย ๒ สวน คอ ชอผใช และชอโดเมน เชน [email protected] เปนตน (๓) ผใชงาน (User) หมายถง ขาราชการ พนกงานราชการ และลกจางของกองทพบกทปฏบตงานเกยวกบระบบสารสนเทศกองทพบก รวมถงบคคลภายนอกทเขามาด าเนนการเกยวกบระบบสารสนเทศของกองทพบก (๔) ผดแลระบบ (System Administrator) หมายถง นายทหารสญญาบตรทปฏบตงานในระบบสารสนเทศของกองทพบกหรอผทไดรบมอบหมายจากผบงคบบญชาใหเปนผดแลระบบสารสนเทศของหนวยงานนนๆ

mailto:[email protected]
Page 2: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒ -

(๕) ผดแลเครอขาย (Network Administrator) หมายถง นายทหารสญญาบตรทปฏบตงานในระบบสารสนเทศของกองทพบกหรอผทไดรบมอบหมายจากผบงคบบญชาใหเปนผดแลเครอขายสารสนเทศของหนวยงานนนๆ (๖) ผดแลฐานขอมล (Database Administrator) หมายถง นายทหารสญญาบตรทปฏบตงานในระบบสารสนเทศของกองทพบกหรอผทไดรบมอบหมายจากผบงคบบญชาใหเปนผดแลฐานขอมล (๗) ผบงคบบญชา หมายถง หวหนาหนวยงานของผปฏบตหนาทในระบบสารสนเทศของกองทพบก (๘) ความมนคงปลอดภยดานสารสนเทศ หมายความวา ความมนคงและความปลอดภยในบรบทของ การรกษาความลบ ความเชอถอได และความพรอมใชงานของขอมล ส าหรบระบบสารสนเทศของกองทพบก (๙) เหตการณดานความมนคงปลอดภย (Security incidents) หมายถง เหตการณทเกดขนกบระบบคอมพวเตอรและเครอขายคอมพวเตอรของกองทพบกหรอเหตการณทสงสยวาจะเปนจดออนหรออาจสรางความเสยหายไดในทสดซงอาจสงผลให (๙.๑) เกดการหยดชะงกตอกระบวนการหรอขนตอนการปฏบตงานส าคญ เชน ระบบงานสารสนเทศของหนวยเกดการหยดชะงก เปนตน (๙.๒) เปนการละเมดนโยบายความมนคงปลอดภยของกองทพบก (๙.๓) เปนการละเมดตอกฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดตางๆ ทก าหนดไว (๙.๔) เกดภาพลกษณทไมดตอกองทพบกหรอท าใหสญเสยชอเสยง เชน การไปโพสตขอความพาดพงถงกองทพบกในเวบไซตภายนอกซงท าใหเกดความเสยหายตอชอเสยงของกองทพบก เปนตน (๙.๕) ตวอยางของเหตการณดานความมนคงปลอดภย ไดแก โปรแกรมไมพงประสงค การพบจดออนในซอฟตแวร ระบบงาน หรอฮารดแวรทใชงาน การแจงเตอนของระบบปองกนการบกรก ระบบถกบกรกทางเครอขาย ขอมลส าคญถกเปลยนแปลง หรอสญหาย หนาเวบไซตถกเปลยนแปลง การเปดเผยขอมลส าคญโดยไมไดรบอนญาต การใชทรพยากรของหนวยงานผดวตถประสงค เชน การใชเครอขายของหนวยงานเพอกระท าการทขดตอ พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ เพอกระท าการทขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน เพอกระท าการอนม ลกษณะเปนการละเมดทรพยสนทางปญญา เพอท าการสงขอมลทมลกษณะเปนจดหมายลกโซ เปนตน ระบบถกโจมตจนไมสามารถใหบรการได ระบบ อปกรณ ฮารดแวร หรอทรพยสนในระบบสารสนเทศอนๆ ถกขโมย การแอบตดตงซอฟตแวรเพอดกขโมยขอมลหรอดกดขอมลในเครอขายของกองทพบก การหยดชะงกของระบบคอมพวเตอรและเครอขาย หรอเหตการณอนๆ ทเปนการละเมดระเบยบฉบบน (๙.๖) ตวอยางของเหตการณทเปนจดออน ไดแก ประตศนยคอมพวเตอรไมสามารถปดใหสนทได ระบบงานสารสนเทศของหนวยมชองทางอนในการเขาสระบบไดโดยไมผานการพสจนตวตนตามปกต เจาหนาทรกษาความปลอดภยของหนวยไมเขมงวดหรอละเลยการปฏบตหนาท บคคลภายนอกสามารถเดนตามเจาหนาทเขาหองระบบสารสนเทศของหนวยโดยไมมการแลกบตรผาน บคคลภายนอกไมไดลงชอกอนเขาศนยคอมพวเตอรของหนวย เจาหนาทไมมการระบตวตนกอนทจะเขาถงหองระบบสารสนเทศของหนวยนน (๙.๗) เหตการณดานความมนคงปลอดภยหรอเหตการณทเปนจดออนจ าเปนตองไดรบรายงานจากผใชงานเพอใหมการจดการกบเหตการณเหลานนอยางเหมาะสมไดผลและทนกาล

Page 3: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓ -

(๑๐) ทรพยสนทางปญญา หมายถง ผลงานอนเกดจากความคดสรางสรรคของมนษย ทรพยสนทางปญญาเปนทรพยสนอกชนดหนงทนอกเหนอจากสงหารมทรพยนนคอทรพยสนทสามารถเคลอนยายได เชน นาฬกา รถยนต โตะ เปนตน และอสงหารมทรพย คอทรพยสนทไมสามารถเคลอนยายได เชน บาน ทดน เปนตน ซงทรพยสนทางปญญา ไดแก (๑๐.๑) ลขสทธ (Copyright) (๑๐.๒) สทธบตร (Patent) (๑๐.๓) เครองหมายการคา (Trademark) (๑๐.๔) แบบผงภมของวงจรรวม (Layout - Designs of Integrated Circuit) (๑๐.๕) ความลบทางการคา (Trade Secrets) (๑๐.๖) สงบงชทางภมศาสตร (Geographical Indication)

(๑๑) สนทรพย หมายถง สงของทจ าเปนทงมวลส าหรบกองทพบก ทงทมไวเพอการด ารงอย และการปฏบตของหนวยภายในกองทพบก ทงใหเปนไปตามระเบยบกองทพบกวาดวย ความรบผดชอบในสงอปกรณ พ.ศ.๒๕๓๕ ตามค าจดความ ขอ ๔ วาดวยสงอปกรณของกองทพบก

(๑๒) สทธของผใชงาน (user access right) หมายถง สทธทวไป สทธจ าเพาะ สทธพเศษ และสทธอนใด ทเกยวของกบระบบสารสนเทศของกองทพบก หรอ เพอการเขาถงเขาใชสารสนเทศและทรพยสนสารสนเทศของกองทพบก

(๑๓) การเขาถง (access) หมายถง ความสามารถในการเขาไป อนอาจท าใหสามารถจะอาน ท า สราง แกไข ปรบปรงเปลยนแปลง ลวงรดวยประการใดๆ หรอไดอาน ท า สราง แกไข ปรบปรงเปลยนแปลง ลวงรดวยประการใดๆ ส าหรบขอมลคอมพวเตอร ขอมลอเลกทรอนกส สารสนเทศ ระบบคอมพวเตอร ระบบสารสนเทศ ทงโดยการเขาถงดวยวธการทางอเลกทรอนกสและวธการทางกายภาพ

(๑๔) การควบคมการเขาถงหรอควบคมการใชงานสารสนเทศ (access control) หมายถง การอนญาต การก าหนดสทธ หรอการมอบอ านาจใหผใชงาน เขาถงหรอใชงานเครอขายหรอระบบสารสนเทศ ทงทางอเลกทรอนกส และทางกายภาพ รวมทงการอนญาตเชนวานนส าหรบบคคลภายนอก ตลอดจนอาจก าหนดขอปฏบตเกยวกบการเขาถงโดยมชอบเอาไวดวยกได

(๑๕) สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด หมายถง เหตบกพรองหรอเหตละเมดดานความมนคงปลอดภย ซงอาจท าใหระบบของกองทพบกสญเสยการปฏบตงาน รวมถงการใหบรการตางๆ แตเพยงบางสวนหรอทงหมด จากการถกบกรกหรอโจมตทางชองโหว และความมนคงปลอดภยถกคกคามจากภยคกคามรปแบบตางๆ

(๑๖) ภยคกคาม (threats) หมายถง เหตการณตางๆ ทเปนไปไดหรอเหตการณทไมพงประสงค ซงอาจสงผลกระทบหรอสรางความเสยหายตอระบบสารสนเทศของกองทพบก

(๑๗) ชองโหว (vulnerabilities) หมายถง จดออนของทรพยสนหรอมาตรการ ทเปนชองทางเกดปจจยเสยงจากภยคกคามทมผลกระทบตอทรพยสนหรอตอระบบสารสนเทศของกองทพบก ขอ ๖ เสนาธการทหารบก ในฐานะผบรหารเทคโนโลยสารสนเทศระดบสงกองทพบก (CIO) เปนผรบผดชอบระบบสารสนเทศในภาพรวมของกองทพบก รวมถงการละเมดมาตรการตางๆ จนความเสยหายของระบบสารสนเทศทเกดขนตามระเบยบน โดยมอบหมายให เจากรมการทหารสอสาร เปนผรกษาการใหเปนไปตามระเบยบน และใหก าหนดการทบทวนระเบยบน ใหมความทนสมย อยางตอเนอง โดยมวงรอบปงบประมาณละ ๑ ครง ขอ ๗ ระเบยบนแบงออกเปน ๒๓ หมวด ดงน

Page 4: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๔ -

หมวด ๑ กลาวทวไป

ขอ ๘ ความมงหมายของระเบยบน (๑) เพอใหเกดความเชอมนและมระบบการรกษาความมนคงปลอดภยการใชงานในระบบสารสนเทศของกองทพบกด าเนนงานไปไดอยางมประสทธภาพ และประสทธผล (๒) เพอเปนมาตรฐานแนวทางปฏบตและความรบผดชอบของผมสวนเกยวของไดแก ผบงคบบญชา ก าลงพลของหนวย ผดแลระบบและบคคลภายนอกทปฏบตงานใหกบกองทพบก เปนไปอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภยในการใชระบบสารสนเทศของกองทพบก (๓) เพอเปนกรอบและแนวทางการปรบปรงพฒนาระบบสารสนเทศของกองทพบกยกระดบมาตรฐานการรกษาความมนคงปลอดภยไปสสากล (๔) เพอเปนมาตรการในการรกษาความปลอดภยระบบสารสนเทศของกองทพบก ส าหรบการพทกษรกษาและปองกน มใหขอมลและสงทเปนความลบของทางราชการ รวไหลหรอรไปถง หรอตกไปอยในมอของฝายตรงขามหรอบคคลผไมมอ านาจหนาท ปองกนการจารกรรมทงจากบคคลภายในและภายนอกสวนราชการ พทกษรกษาและปองกนการกอวนาศกรรมแกเครองคอมพวเตอร อปกรณสารสนเทศ เครองใชส านกงาน อาคาร สถานท และเอกสารทเกยวของกบระบบสารสนเทศ เปนตน ขอ ๙ หวหนาสวนราชการสามารถก าหนดมาตรการรกษาความปลอดภยใหระบบสารสนเทศของสวนราชการ และแตงตงผรบผดชอบระบบสารสนเทศของสวนราชการเพมเตมไดโดยใหสอดคลองและไมขดแยงกบระเบยบน ขอ ๑๐ เหตผลในการประกาศใชระเบยบน คอ วางแนวนโยบายและแนวปฏบตของกองทพบก ในการรกษาความปลอดภยระบบสารสนเทศของกองทพบกเกยวกบระบบคอมพวเตอรระบบสอสารสารสนเทศ ระบบเครอขายสารสนเทศ เพอใหใชบงคบแกสวนราชการ ขาราชการ พนกงานขาราชการ และลกจาง ทมการปฏบตเกยวกบระบบสารสนเทศ รวมทงบคคลภายนอก ทเขามาด าเนนการเกยวกบระบบสารสนเทศ ของกองทพบก ขอ ๑๑ ในการก าหนดชนความลบของสารสนเทศใหเปนไปตาม พรบ.ขอมลขาวสารของ ทางราชการ พ.ศ.๒๕๔๐ และระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ.๒๕๔๔ หรอขอก าหนดอน ๆ ทไดประกาศใชทดแทน

หมวด ๒ การจดท าโครงการและการจดหาระบบงาน คอมพวเตอร และอปกรณคอมพวเตอร

(Application, Computer and Device Project Development and Acquisition)

ขอ ๑๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองควบคมการจดหาระบบงาน คอมพวเตอร และอปกรณเครอขายและคอมพวเตอรดงน (๑) ตองเปนผใหความเหนชอบในการจดท าโครงการดานระบบสารสนเทศของหนวยงานภายในตางๆ ของกองทพบกเพอใหมความเหมาะสมและเกดประโยชนสงสดแกกองทพบก (๒) ตองเปนผใหความเหนชอบส าหรบการจดหาระบบงาน คอมพวเตอร อปกรณเครอขาย หรออปกรณคอมพวเตอรของหนวยงานภายในของกองทพบก

Page 5: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๕ -

(๓) ไมอนญาตใหหนวยงานภายในตางๆ ของกองทพบกด าเนนการดวยตนเองโดยไมผานความเหนชอบจากหนวยรบผดชอบตามสายงานหรอหนวยงานทไดรบมอบหมายจากผบงคบบญชา

หมวด ๓ การควบคมการเขาถงหรอการใชงานระบบสารสนเทศ

(Access Control)

ขอ ๑๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองจดการควบคมการเขาถงระบบสารสนเทศของหนวยงาน โดยก าหนดเปนมาตรการทง ๔ ดาน ดงน (๑) ดานการเขาถงระบบสารสนเทศทวไป (๑.๑) ผใชงานจะตองไดรบอนญาตจากผรบผดชอบขอมลและ/หรอผรบผดชอบระบบงาน ตามความจ าเปนตอการใชงานระบบสารสนเทศ (๑.๒) ผดแลระบบ มหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบ ไดแกผใชในการขออนญาตเขาระบบงานนน จะตองมการท าเปนบนทกและกรอกแบบเอกสารทกองทพบก ก าหนดเพอขอสทธในการเขาสระบบเฉพาะในสวนทจ าเปน โดยค านงถงประเภทขอมลและชนความลบ และก าหนดใหมการลงนามอนมตเอกสารดงกลาวโดยผบงคบบญชาหรอผ รบมอบอ านาจจากผบงคบบญชาเพอการจดเกบไวเปนหลกฐาน (๑.๓) ผรบผดชอบขอมลและผรบผดชอบระบบงานจะอนญาตใหผใชงานเขาสระบบเฉพาะในสวนทจ าเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงาน จะน าไปสความเสยงในการใชงานเกนอ านาจหนาท ดงนนการก าหนดสทธในการเขาถงระบบงานตองก าหนดตามความจ าเปนขนต าเทานน (๒) ดานการเขาถงระบบเครอขายสารสนเทศ (๒.๑) ผใชงานจะตองไดรบอนญาตจากผรบผดชอบระบบเครอขายของกองทพบก ตามสทธและความจ าเปนในการเขาถงเครอขายกอนทจะเขาใชงาน (๒.๒ ผดแลเครอขายสารสนเทศของกองทพบก มหนาทตรวจสอบการอนมตและก าหนดการอนญาตในการผานเขาสเครอขายสารสนเทศของกองทพบก ตามสทธและความจ าเปนในการปฏบตงานเทานน (๒.๓) ผดแลเครอขายสารสนเทศของกองทพบก จะตองจดใหมการบนทกการใชงานของผใชงาน ตลอดจนการเฝาระวงการใชงาน ไมใหผใชงานลวงละเมดความปลอดภย ลวงละเมดสทธการใชงาน ลวงละเมดสทธของผใชงานอนๆ อกดวย (๓) ดานการเขาถงระบบปฏบตการ (๓.๑) ผใชงานตองไดรบอนญาตจากผรบผดชอบระบบปฏบต ซงเปนทรพสนของกองทพบก จงจะสามารถเขาถงการใชงานได และผใชงานตองใชงานเฉพาะระบบปฏบตงานทกองทพบกจดหามาอยางถกตองตามกฎหมายเทานน (๓.๒) ผรบผดชอบระบบปฏบตงาน มหนาหนาทตรวจสอบสทธอนญาตใหเขาใชงานระบบปฏบตงานของผใช และควบคมการใชงานใหเปนไปตามสทธและตามความจ าเปนในการใชงาน รวมถงการบนทกการใชงานของผใช ตลอดจนการเฝาระวงการใชงาน ไมใหผใชงานลวงละเมดความปลอดภย ลวงละเมดสทธการใชงาน รวมถงลวงละเมดสทธของผใชงานอนๆ อกดวย (๔) ดานการเขาถงโปรแกรมประยกต (application)

Page 6: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๖ -

(๔.๑) ผใชงานตองไดรบอนญาตจากผรบผดชอบโปรแกรมประยกต ซงเปนทรพยสนของกองทพบก จงจะสามารถเขาถงการใชงานได และผใชงานตองใชงานเฉพาะโปรแกรมประยกตทกองทพบกจดหามาอยางถกตองตามกฎหมายเทานน (๔.๒) ผรบผดชอบโปรแกรมประยกต มหนาหนาทตรวจสอบสทธอนญาตใหเขาใชงานโปรแกรมประยกตของผใช และควบคมการใชงานใหเปนไปตามสทธและตามความจ าเปนในการใชงาน รวมถงการบนทกการใชงานของผใช ตลอดจนการเฝาระวงการใชงาน ไมใหผใชงานลวงละเมดความปลอดภย ลวงละเมดสทธการใชงาน รวมถงลวงละเมดสทธของผใชงานอนๆ อกดวย ขอ ๑๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการบรหารจดการการเขาถงของผใชงาน (User Access Management) ดงน (๑) การลงทะเบยนเจาหนาทใหม ก าหนดใหมขนตอนปฏบตส าหรบการลงทะเบยน เจาหนาททปฏบตงานใหมเพอใหมสทธตาง ๆ ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน เชน เมอลาออกไป หรอเมอเปลยนต าแหนงงานภายในกองทพบก เปนตน (๑.๑) ขนตอนการลงทะเบยนเจาหนาท (user registration) (๑.๑.๑) หนวยตนสงกดของเจาหนาทใหม แจงขอมลการขอลงทะเบยนเจาหนาทใหมเปนลายลกษณอกษรตามสายการบงคบบญชา ใหผรบผดชอบระบบสารสนเทศของกองทพบก (๑.๑.๒) ผรบผดชอบระบบสารสนเทศของกองทพบกพจารณาขอมลการขอลงทะเบยนของเจาหนาทใหม โดยตรวจสอบใหถกตองวาเปนเจาหนาทของกองทพบกอยางแทจรง และไดรบสทธในการใชงานตามค ารองขอลงทะเบยนอยางถกตอง (๑.๑.๓) ผรบผดชอบระบบสารสนเทศของกองทพบกพจารณาอนมตใหลงทะเบยนเจาหนาทใหม และแจงผลการอนมตตามสายการบงคบบญชาใหผบงคบบญชาและเจาหนาทใหมทราบตอไป (๑.๒) ขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน (๑.๒.๑) หนวยตนสงกดของเจาหนาท แจงขอมลการขอยกเลกสทธการใชงานเปนลายลกษณอกษรตามสายการบงคบบญชา ใหผรบผดชอบระบบสารสนเทศของกองทพบก (๑.๒.๒) ผรบผดชอบระบบสารสนเทศของกองทพบกพจารณาขอมลการขอยกเลกสทธการใชงานของเจาหนาท โดยตรวจสอบใหถกตองวาเปนเจาหนาทของกองทพบกอยางแทจรง และไดรบการยกเลกสทธในการใชงานตามค ารองอยางถกตอง (๑.๒.๓) ผรบผดชอบระบบสารสนเทศของกองทพบกพจารณาอนมตใหยกเลกสทธการใชงานของเจาหนาท และแจงผลการอนมตตามสายการบงคบบญชาใหผบงคบบญชาและเจาหนาทนนทราบตอไป (๒) ก าหนดสทธการใชระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (E-mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเทอรเนต (Internet) เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชา เปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ (๓) ก าหนดบญชชอผใชงานแยกกนเปนรายบคคล กลาวคอ ไมก าหนดบญชชอผใชงานทซ าซอนกน และถอวาบญชผใชงานเปนการระบและยนยนตวตนของผใชงานตอไป (๔) จ ากดการใชงานบญชชอผใชงานแบบกลมซงมการใชงานรวมกน กลาวคอ อนญาตใหใชงานไดกตอเมอมเหตผลความจ าเปนในการใชงานเทานนและผใชงานบญชแบบกลมตองรบผดชอบการใชงานรวมกน

Page 7: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๗ -

(๕) ไมอนญาตใหผรองขอใชระบบงานสารสนเทศเขาใชระบบจนกวาจะไดรบอนมตแลวเทานน (๖) จดเกบขอมลการลงทะเบยนของผทรองขอเขาใชระบบงานสารสนเทศเพอเอาไวใชอางองหรอตรวจสอบในภายหลง (๗) ทบทวนบญชผใชงานทงหมดอยางสม าเสมออยางนอยปละ ๑ ครงเพอปองกนการเขาถงระบบโดยไมไดรบอนญาต โดยปฏบตตามแนวทางดงน (๗.๑) พมพรายชอของผทยงมสทธในระบบงานสารสนเทศแยกตามหนวยงานภายในของกองทพบก (๗.๒) จดสงรายชอนนใหกบผบงคบบญชาทรบผดชอบระบบสารสนเทศของหนวยเพอด าเนนการทบทวนวามรายชอทออกสทธเขาถงระบบสารสนเทศไปแลวหรอมการเปลยนแปลงแตยงไมไดมการแกไขสทธการเขาถงใหถกตองหรอไม (๗.๓) ผบงคบบญชาของหนวยแจงหรออนมตรายชอของผมสทธในระบบงานสารสนเทศทไดรบการแกไขใหถกตองแลว (๗.๔) ผดแลระบบงานสารสนเทศของหนวยด าเนนการแกไขขอมลผมสทธใหถกตองตามทไดรบแจงหรอไดรบการอนมต ขอ ๑๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองบรหารจดการบญชรายชอผใชงาน (User account) และรหสผานของเจาหนาทดงน (๑) ผดแลระบบ ทรบผดชอบระบบนน ๆ ตองก าหนดสทธของเจาหนาทในการเขาถงระบบเทคโนโลยสารสนเทศแตละระบบ รวมทงก าหนดสทธแยกตามหนาททรบผดชอบซงมแนวทางปฏบตโดยตองก าหนดไวเปนลายลกษอกษรอยางชดเจน เชน ก าหนดเปนเอกสารการบรหารจดการสทธการใชงานระบบและรหสผาน เปนตน (๒) การก าหนดการเปลยนแปลงและการยกเลกรหสผาน ตองปฏบตตามเอกสารหรอตามระเบยบททางกองทพบกก าหนดขน (๓) กรณมความจ าเปนตองใหสทธพเศษกบผใช หมายถง ผใชทมสทธสงสด ตองมการพจารณาการควบคมผใชทมสทธพเศษนนอยางรดกมเพยงพอโดยใชปจจยตอไปนประกอบการพจารณาควรไดรบความเหนชอบและอนมตจากผบงคบบญชา (๓.๑) ควบคมการใชงานอยางเขมงวด เชน ก าหนดใหมการควบคมการใชงานเฉพาะกรณจ าเปนเทานน (๓.๒) ก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว (๓.๓) มการเปลยนรหสผานอยางเครงครด เชน ทกครงหลงหมดความจ าเปนในการใชงาน หรอ ในกรณทมความจ าเปนตองใชงานเปนระยะเวลานานกควรเปลยนรหสผานทก ๓ เดอน เปนตน ขอ ๑๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดวธการบรหารจดการ การเขาถงขอมลตามระดบชนความลบ (๑) ผดแลระบบ ตองก าหนดชนความลบของขอมล วธปฏบตในการจดเกบขอมลและวธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงวธการท าลายขอมลแตละประเภทชนความลบ

Page 8: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๘ -

(๒) ผดแลฐานขอมลหรอเจาของขอมล จะตองมการทบทวนความเหมาะสมของสทธในการเขาถงขอมลของผใชงานเหลานอยางนอยปละ ๑ ครง เพอใหมนใจไดวาสทธตาง ๆ ทใหไวยงคงมความเหมาะสม (๓) วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงานผดแลระบบตองก าหนดรายชอผใชงาน (User Account) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบขอมล (๔) การรบสงขอมลส าคญผานเครอขายสาธารณะผใชงานควรไดรบการเขารหส (Encryption) ทเปนมาตรฐานสากล เชน SSL, VPN เปนตน (๕) มการก าหนดใหเปลยนรหสผานตามระยะเวลาทก าหนดของระดบความส าคญของขอมล ตามทระบไวในเอกสารหรอตามระเบยบททางกองทพบกก าหนดขน (๖) มมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอรออกนอกพนทของกองทพบก เชน สงเครองคอมพวเตอรไปตรวจซอม ควรส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน ขอ ๑๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการควบคมการเขาใชงานระบบจากภายนอก หนวยงานทมระบบสารสนเทศ ตองก าหนดใหมการควบคมการใชงานระบบทผดแลระบบไดตดตงเอาไวภายในหนวยของตนเอง เพอดแลรกษาความปลอดภยของระบบภายในจากการเขาถงระบบจากภายนอกโดยมแนวทางปฏบต ดงน (๑) การเขาสระบบจากระยะไกล (Remote access) สระบบเครอขายคอมพวเตอรของกองทพบก กอใหเกดชองทางทมความเสยงสงตอความปลอดภยของขอมลและทรพยากรของกองทพบก การควบคมบคคลทเขาสระบบของกองทพบกจากระยะไกลจงตองมการก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน (๒) วธการใด ๆ กตามทสามารถเขาสขอมลหรอระบบขอมลได จากระยะไกลตองไดรบการอนมตจากผบงคบบญชาหรอผทไดรบการมอบอ านาจกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตามขอก าหนดของการเขาสระบบและขอมลอยางเครงครด (๓) กอนท าการใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบกองทพบกอยางเพยงพอและตองไดรบอนมตจากผบงคบบญชา (๔) มการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบโดยการโทรศพทเขามานน ตองดแลและจดการโดยผดแลระบบและวธการหมนเขาตองไดรบการอนมตอยางถกตองและเหมาะสมแลวเทานน (๕) การอนญาตใหผใชเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และไมเปดชองทางตดตอ(Port) และอปกรณเชอมตอระยะไกล (Modem) ทใชทงเอาไวโดยไมจ าเปน ชองทางดงกลาวมการตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดตอเมอมการรองขอทจ าเปนเทานน ขอ ๑๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการพสจนตวตนส าหรบผใชทอยภายนอกดงน ผใชระบบทกคนเมอจะเขาใชงานระบบของกองทพบก ตองผานการพสจนตวตนจากระบบของกองทพบกโดยมแนวทางปฏบตดงน (๑) การแสดงตวตน (Identification) ดวยชอผใช (Username) (๒) การพสจนยนยนตวตน (Authentication) ดวยการใชรหสผาน (Password)

Page 9: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๙ -

(๓) การเขาสระบบสารสนเทศของกองทพบกจากอนเทอรเนตนน จะมการตรวจสอบผใชงานดวย (๔) การเขาสระบบจากระยะไกล (Remote access) เพอเพมความปลอดภยจะตองมการตรวจสอบ เพอพสจนตวตนของผใชงาน เชน รหสผาน หรอวธการเขารหส เปนตน

หมวด ๔ การบรหารจดการสทธการใชงานระบบและรหสผาน

ขอ ๑๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดวธการบรหารจดการรหสผาน (user password management) และการใชงานรหสผาน (password use)ของเจาหนาทใหมความมนคงปลอดภย และการทบทวนสทธการเขาถงของผใชงาน (review of user access rights) โดยมแนวทางปฏบต ดงน (๑) วธการบรหารจดการรหสผาน (๑.๑) ตองเกบรกษารหสผานทไดรบใหเปนความลบ (๑.๒) ก าหนดใหรหสผานตองมมากกวาหรอเทากบ ๘ ตวอกษร โดยมการผสมกนระหวางตวอกษรทเปนตวพมพปกต ตวเลข และสญลกษณเขาดวยกน (๑.๓) ไมควรก าหนดรหสผานสวนบคคลจากชอหรอนามสกลของตนเองหรอบคคลในครอบครวหรอบคคลทมความสมพนธใกลชดกบตน หรอจากค าศพททใชในพจนานกรม (๑.๔) ไมใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอนผานเครอขายคอมพวเตอร (๑.๕) ไมใชโปรแกรมคอมพวเตอรชวยในการจ ารหสผานสวนบคคลอตโนมต (Save Password) (๑.๖) ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานททงายตอการสงเกตเหนของบคคลอน (๑.๗) เกบรกษารหสผานทงของตนเองและของกลมไวเปนความลบ (๑.๘) การก าหนดรหสผานเรมตนใหกบเจาหนาทใหยากตอการเดา และก าหนดชอผใชหรอรหสผใชงานตองไมซ ากนอกดวย (๑.๙) กรณทมความจ าเปนตองบอกรหสผานแกผ อนเนองจากงาน หลงจากด าเนนการเรยบรอย ใหท าการเปลยนรหสผานโดยทนท (๑.๑๐) เมอเจาหนาทของหนวยงาน ลาออก หรอเปลยนแปลงหนาทความรบผดชอบในระบบทขอสทธการใชงาน ใหหนวยแจงผรบผดชอบระบบสารสนเทศทนท เพอเปลยนสทธหรอถอดถอนสทธของผทลาออกออกจากระบบทนททไดรบแจง (๑.๑๑) การสงมอบรหสผานใหกบเจาหนาทตองเปนไปอยางปลอดภยโดยใสซองปดผนก และประทบตรา “ลบ” และสงไปยงผใชงาน และ แนบเอกสารการไดรบอนญาตจากผบงคบบญชา รวมทงแจงใหผใชงานปฏบตตามระเบยบดงกลาวโดยเครงครด

(๒) การใชงานรหสผาน (๒.๑) ผใชงานตองใชงานรหสผานของตนเองหรอตามทไดรบอนมตเทานน (๒.๒) ผใชงานรหสผานตองปฏบตใหเปนไปตามวธการบรหารจดการรหสผานอยางเครงครด

Page 10: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๐ -

(๒.๓) กรณตองการยกเลกหรอเปลยนแปลงรหสผานใหแจงเปนลายลกษณอกษรตามสายการบงคบบญชาใหผรบผดชอบด าเนนการตอไป (๒.๔) ผใชงานตองไมใชงานรหสผานซงเคยใชมาแลว อยางนอย ๕ รหสผาน (๒.๕) ผใชงานตองเปลยนรหสผาน (Password) ทกๆ ๖๐ วนหรอทกครงทมการแจงเตอนใหเปลยนรหสผาน (๒.๖) ผ ใชงานตองรบผดชอบตอการกระท าใดๆ ท เกดจากบญชของผใชงาน (Username) ไมวา การกระท านนจะเกดจากผใชงานหรอไมกตาม (๒.๗) ผใชงานตองท าการพสจนตวตนทกครงกอนทจะใชทรพยสนหรอระบบสารสนเทศของกองทพบก และหากการพสจนตวตนนนมปญหา ไมวาจะเกดจากรหสผาน การโดนลอคกด หรอเกดจากความผดพลาดใดๆ กด ผใชงานตองแจงใหผดแลระบบทราบทนท โดย (๒.๗.๑) คอมพวเตอรโนตบค (Notebook) ตองท าการพสจนตวตนในระดบไบออส (BIOS) กอนการใชงาน (๒.๗.๒) คอมพวเตอรทกประเภท กอนการเขาถงระบบปฏบตการตองท าการพสจนตวตนทกครง (๒.๗.๓) การใชงานระบบคอมพวเตอรอนในเครอขายจะตองท าการพสจนตวตนทกครง (๒.๗.๔) การใชงานอนเทอรเนต (Internet) ตองท าการพสจนตวตนและตองมการบนทกขอมลซงสามารถบงบอกตวตนบคคลผใชงานได (๒.๗.๕) เมอผใชงานไมอยทเครองคอมพวเตอร เครองคอมพวเตอรทกเครองตองท าการลอคหนาจอทกครง และตองท าการพสจนตวตนกอนการใชงานทกครง (๒.๗.๖) เครองคอมพวเตอรทกเครองตองท าการตงเวลาพกหนาจอ (screen saver) โดยตงเวลาอยางนอย ๕ นาท และมการใชรหสผานในการเขาถงใหมอกครง (๓) การทบทวนสทธการเขาถงของผใชงาน (๓.๑) ผดแลระบบ (System Administrator) เปนผรบผดชอบในการทบทวนสทธการถงของผใชงาน (๓.๒) วงรอบการทบทวนสทธการเขาถงของผใชงานใหทบทวนทกๆ ๖ เดอน หรอเมอการเกดการเปลยนแปลงสทธของผใช ไดแก การลาออก การยายหนวย เปนตน อกทงการทบทวนสทธตองพจารณาถงพฤตกรรมการท างานของผใช รวมทงถามการเปลยนแปลงของระบบงานใหม จะตองมการทบทวนสทธการใชงานทกครงอกดวย (๓.๓) การทบทวนสทธผดแลระบบ จะตองแจงรายงานการทบทวนสทธ เปนลายลกษณอกษรใหผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกอนมตใหด าเนนการตอไป

หมวด ๕ การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม

(Physical and environmental security)

ขอ ๒๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการรกษาความปลอดภยทางกายภาพ (Physical security management) (๑) ก าหนดระดบความส าคญของพนทหรอการจ าแนกพนใชงาน

Page 11: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๑ -

(๒) พนททมระบบเทคโนโลยสารสนเทศอยภายในโดยเฉพาะศนยสารสนเทศกลาง (Data Center) ใหตดตงสญญาณเตอนภยเพอแจงเตอนเมอมการบกรกเกดขน (๓) มระบบปองกนการบกรกทตดตงใหครอบคลมพนทหรอบรเวณทมความส าคญ (๔) ด าเนนการทดสอบระบบปองกนการบกรกทางกายภาพเพอตรวจสอบยงใชงานไดตามปกต (๕) บคลากรของกองทพบกควรปดประตและหนาตางใหลอคอยเสมอ (๖) ถาตรวจพบอปกรณสารสนเทศ ทถกละทงโดยไมมผใชอยในบรเวณใกลเคยงใหรบแจงผรบผดชอบ ด าเนนการเกบอปกรณดงกลาวในสถานทปลอดภย เพอปองกนการโจรกรรม หรอลกลอบขโมยขอมลจากผไมประสงคดตอไป ขอ ๒๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองจดการควบคมการเขา-ออก (Physical entry controls) ดงน (๑) ใหมการบนทกวนและเวลาการเขา-ออกพนทส าคญของผทมาเยอน (Visitors) (๒) ดแลผทมาเยอนในพนทหรอบรเวณทมความส าคญจนกระทงเสรจสนภารกจและจากไป เพอปองกนการสญหายของทรพยสนหรอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต (๓) มกลไกการอนญาตการเขาถงพนทหรอบรเวณทมความส าคญของบคคลภายนอกและควรมเหตผลทเพยงพอในการเขาถงบรเวณดงกลาว (๔) สรางความตระหนกใหผทมาเยอนจากภายนอกเขาใจในกฎเกณฑหรอขอก าหนดตางๆ ทตองปฏบตระหวางทอยในพนทหรอบรเวณทมความส าคญ (๕) มการควบคมการเขาถงพนททมขอมลส าคญจดเกบหรอประมวลผลอย (๖) ไมอนญาตใหผไมมกจเขาไปในพนทหรอบรเวณทมความส าคญเวนแตไดรบการอนญาต (๗) มการพสจนตวตน เชน การแสดงบตรผาน การใชบตรแถบแมเหลก การใชรหสผาน เปนตน เพอควบคมการเขา-ออกในพนทหรอบรเวณทมความส าคญ โดยเฉพาะในศนยสารสนเทศกลาง (Data Center) (๘) จดเกบบนทกการเขา-ออกส าหรบพนทหรอบรเวณทมความส าคญโดยเฉพาะศนยสารสนเทศกลาง (Data Center) เพอใชในการตรวจสอบในภายหลงเมอมความจ าเปน (๙) บคคลภายนอก เชน เจาหนาทบรษท, นกศกษาฝกงานหรอผไดรบการวาจางอนๆตองตดบตรใหเหนเดนชดตลอดระยะเวลาการท างาน (๑๐) ผมาเยอนตองตดบตรใหเหนเดนชดตลอดระยะเวลาทอยภายในหนวยงาน (๑๑) ควรจดใหมการดแลและเฝาระวงการปฏบตงานของบคคลภายนอกในขณะทปฏบตงานในพนทหรอบรเวณทมความส าคญ (๑๒) จดใหมการทบทวน หรอยกเลกสทธการเขาถงพนทหรอบรเวณทมความส าคญอยางสม าเสมอ ขอ ๒๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดบรเวณส าหรบการเขาถง หรอการสงมอบสงอปกรณโดยบคคลภายนอก (Public access, delivery, and loading areas) ดงน (๑) จ ากดการเขาถงพนทหรอบรเวณทมการสงมอบหรอขนถายสงอปกรณเพอปองกนการเขาถงโดยไมไดรบอนญาต (๒) จ ากดบคลากรซงสามารถเขาถงพนทหรอบรเวณสงมอบนน

Page 12: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๒ -

(๓) จดพนทหรอบรเวณสงมอบไวในบรเวณตางหากเพอหลกเลยงการเขาถงพนทอนๆ ภายในระบบสารสนเทศของหนวย (๔) ใหตรวจสอบวสดหรอปจจยการผลตทเปนอนตรายกอนทจะโอนยายวสดนนไปยงพนททมการใชงาน (๕) ตรวจนบและลงทะเบยนหรอขนบญชคมสงอปกรณทสงมอบโดยผถกจาง ผขายหรอผใหบรการภายนอกใหสอดคลองกบระเบยบพสด หรอขนตอนปฏบตส าหรบการบรหารจดการสงอปกรณของกองทพบก ขอ ๒๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการจดวางและการปองกนอปกรณ (Equipment Sitting and Protection) ดงน (๑) จดวางอปกรณในพนทหรอบรเวณทเหมาะสม เพอหลกเลยงการเขาถงพนทของผปฏบตงานในหองศนยสารสนเทศกลาง ( Data Center) ใหนอยทสด (๒) อปกรณทมความส าคญใหแยกเกบไวอกพนทหนง ทความมนคงปลอดภย (๓) ไมใหมการน าอาหาร เครองดม และสบบหรในบรเวณหรอพนททมระบบ เทคโนโลยสารสนเทศอยภายในศนยสารสนเทศกลาง (Data Center) (๔) ด าเนนการตรวจสอบ สอดสอง และดแลสภาพแวดลอมภายในบรเวณหรอพนททมระบบเทคโนโลยสารสนเทศอยภายในเพอปองกนความเสยหายตออปกรณทอยในบรเวณดงกลาว เชน การตรวจสอบระดบอณหภม ความชน ใหอยในระดบปกตหรอไม ขอ ๒๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดระบบและอปกรณสนบสนนการท างาน (Supporting Utilities) ดงน (๑) มระบบสนบสนนการท างานของระบบเทคโนโลยสารสนเทศของหนวยทเพยงพอตอความตองการใชงานโดยใหมระบบดงตอไปน (๑.๑) ระบบส ารองกระแสไฟฟา (UPS) (๑.๒) เครองก าเนดกระแสไฟฟาส ารอง (Generator) (๑.๓) ระบบระบายอากาศ (๑.๔) ระบบปรบอากาศ และควบคมความชน (๒) ใหมการตรวจสอบหรอทดสอบระบบสนบสนนเหลานนอยางสม าเสมอ เพอใหมนใจไดวาระบบท างานตามปกต และลดความเสยงจากการลมเหลวในการท างานของระบบ (๓) ตดตงระบบแจงเตอน เพอแจงเตอนกรณทระบบสนบสนนการท างานภายในหองเครองท างานผดปกตหรอหยดการท างาน ขอ ๒๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดและควบคมการเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling Security) ดงน (๑) เครอขายของกองทพบกในลกษณะทตองวางผานเขาไปในบรเวณทมบคคลภายนอกเขาถงไดนน ตองใหมการรอยทอสายสญญาณตางๆ เพอปองกนการดกจบสญญาณ การตดสายสญญาณเพอท าใหเกดความเสยหายและปองกนสตวตางๆ กดสาย เชน หน เปนตน (๒) ใหเดนสายสญญาณสอสารและสายไฟฟาแยกออกจากกน เพอปองกนการ แทรกแซงรบกวนของสญญาณซงกนและกน (๓) ท าปายชอส าหรบสายสญญาณและบนอปกรณเพอปองกนการตดตอสญญาณผดเสน (๔) จดท าแผนผงสายสญญาณสอสารตางๆ ใหครบถวนและถกตอง

Page 13: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๓ -

(๕) ต Rack ทมสายสญญาณสอสารตางๆ ปดใสสลกใหสนท เพอปองกนการเขาถงของบคคลภายนอก ขอ ๒๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการบ ารงรกษาอปกรณ(Equipment Maintenance) ดงน (๑) ใหมก าหนดการบ ารงรกษาอปกรณตามรอบระยะเวลาทก าหนด (๒) ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า (๓) จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใชในการตรวจสอบหรอประเมนในภายหลง (๔) จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและปรบปรงอปกรณดงกลาว (๕) ควบคมและสอดสองดแลการปฏบตงานของบรษทผรบจางเหมาบ ารงรกษาระบบคอมพวเตอรทมาท าการบ ารงรกษาอปกรณภายในหนวย (๖) ควบคมการสงอปกรณออกไปซอมแซมนอกสถานทเพอปองกนการสญหายหรอการเขาถงขอมลโดยไมไดรบอนญาต (๗) จดใหมการอนมตสทธการเขาถงอปกรณทมขอมลส าคญของผรบจางทมาท าการบ ารงรกษาอปกรณ เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต ขอ ๒๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองควบคมและก าหนดขนตอนการน าสงอปกรณของกองทพบกออกนอกหนวยงาน (Removal of Property) ดงน (๑) ใหมการขออนญาตกอนน าสงอปกรณหรอทรพยสนออกนอกหนวย (๒) บนทกขอมลการน าสงอปกรณของกองทพบกออกนอกหนวย เพอเอาไวเปนหลกฐานปองกนการสญหาย รวมทงบนทกขอมลเพมเตมเมอน าอปกรณสงคน ขอ ๒๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการปองกนอปกรณทใชงานอยนอกหนวยงาน (Security of equipment off-premises) (๑) ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าสงอปกรณหรอทรพยสนของกองทพบกออกไปใชงานนอก (๒) ไมทงสงอปกรณหรอทรพยสนของกองทพบกไวโดยล าพงในทสาธารณะ (๓) ใหเจาหนาทมความรบผดชอบดแลอปกรณหรอทรพยสนเสมอนเปนทรพยสนของตนเอง ขอ ๒๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองควบคมการจ าหนายสงอปกรณหรอการน าสงอปกรณกลบมาใชงานอกครง (Secure Disposal or Reuse of Equipment) ดงน (๑) ใหท าลายขอมลส าคญในสงอปกรณกอนทจะด าเนนการจ าหนายสงอปกรณดงกลาวและดแนวทางปฏบตในการท าลายสอบนทกขอมลในหมวด ๘ (๒) มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได

Page 14: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๔ -

หมวด ๖ การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศ

(Communications and Operations Management) ขอ ๓๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented Operating Procedures) ดงน (๑) จดท าขนตอนปฏบตอยางเปนลายลกษณอกษรส าหรบภารกจการปฏบตงานกบระบบเทคโนโลยสารสนเทศดงตอไปน (๑.๑) การปฏบตงานในหองเครองคอมพวเตอรทใหบรการหรอศนยสารสนเทศกลาง (Data Center) (๑.๒) การเปดและปดระบบงานเชน การเปด-ปดเครอง เปด-ปดระบบงาน เปด-ปดระบบใหบรการ เปนตน (๑.๓) การส ารองขอมล (๑.๔) การบ ารงรกษาอปกรณ (๑.๕) การจดการกบสอบนทกขอมล เชน การท าปายชอบงช การลบ ทงการปองกนการน าสอบนทกขอมลกลบมาใชงานอกครง เปนตน (๑.๖) การสงงานเขาไปประมวลผลในเครองคอมพวเตอร และการจดการ กบขอผดพลาดทเกดขน (๑.๗) การประมวลผลขอมล เชน ขนตอนในการน าขอมลเขาระบบงาน ประมวลผล และแสดงผล เปนตน (๑.๘) การใชงานโปรแกรมอรรถประโยชนตางๆ (Utilities) (๑.๙) การรายงานและการจดการกบปญหาทเกดขน (๑.๑๐) การจดการกบการท างานลมเหลวและความผดพลาดของระบบคอมพวเตอร ระบบงาน และระบบเครอขาย (๑.๑๑) การกคนระบบงานและระบบเครอขาย (๒) ก าหนดผรบผดชอบและผมอ านาจในการควบคมการด าเนนการในการจดท าเอกสารขนตอนการปฏบตขางตน และใหมการปรบปรงเอกสารอยางสม าเสมอ ขอ ๓๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการควบคมการเปลยนแปลง ปรบปรงหรอแกไขระบบเทคโนโลยสารสนเทศดงน (๑) ก าหนดขนตอนปฏบตส าหรบการควบคมการเปลยนแปลงตอระบบเทคโนโลยสารสนเทศของกองทพบก เชน ซอฟตแวร ฮารดแวรของระบบงาน ซอฟตแวรระบบปฏบตการ เปนตน ควรมขนตอนการด าเนนการดงตอไปน (๑.๑) ระบและบนทกระดบผลกระทบและความเรงดวนของการเปลยนแปลงทขออนมต เชน มากหรอนอย เปนตน (๑.๒) บนทกรายละเอยดการด าเนนการทเกยวของเพอใชเปนหลกฐาน (๑.๓) ก าหนดใหมการวางแผนการด าเนนการ (๑.๔) ก าหนดใหมการทดสอบตามความจ าเปน (๑.๕) ก าหนดใหมการแจงผทเกยวของทงหมด

Page 15: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๕ -

(๑.๖) ก าหนดใหมการวางแผนหรอขนตอนปฏบตส าหรบการถอยหลงกลบส าหรบกรณทท าแลวไมส าเรจ (๑.๗) ก าหนดผมอ านาจในการอนมตใหด าเนนการในการปรบปรงหรอแกไขขนตอนปฏบตดงกลาว ขอ ๓๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการแบงหนาทความรบผดชอบ (Segregation of Duties) ดงน (๑) ก าหนดใหการปฏบตงานทมความส าคญ แยกหนาทความรบผดชอบออกจากกนและมผปฏบตงานมากกวาหนงคน (๒) ปองกนไมใหงานทมความส าคญสามารถด าเนนการไดตงแตตนจนจบไดดวยบคคลเพยงคนเดยว (๓) ใหผบงคบบญชามการสอดสองดแลอยางใกลชดส าหรบงานทมความเสยงตอการเกดความเสยหาย (๔) ใหมการจดเกบหลกฐานทสามารถใชตรวจสอบไดในภายหลง ส าหรบงานทมความเสยง ขอ ๓๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการแยกระบบส าหรบการพฒนา การทดสอบ และการใหบรการออกจากกน (Separation of Development, Test, and Operational Facilities) ดงน (๑) ใหพจารณาการแยกเครองคอมพวเตอรของระบบงานและมาตรการเพอใชในการแยกเครองคอมพวเตอรส าหรบการพฒนา การทดสอบและการใหบรการออกจากกนตามความจ าเปน เพอปองกนผลกระทบจากการท างานทมตอกน (๒) ก าหนดมาตรการควบคมการถายโอนระบบงานจากเครองคอมพวเตอรทใชส าหรบการพฒนาไปสเครองทใชส าหรบการใหบรการ (๓) ใหมการปองกนการเขาถงโปรแกรมอรรถประโยชน เชน ซอฟตแวรทลและยทลต เปนตน ทใชส าหรบการพฒนาระบบงานโดยไมไดรบอนญาตในการเขาถงโปรแกรมฯ ดงกลาวบนเครองคอมพวเตอรส าหรบการพฒนา (๔) ก าหนดใหมการแยกบญชผใชงานออกจากกนส าหรบระบบงานทใชในการพฒนาทดสอบและใหบรการจรง ขอ ๓๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดใหมการตรวจสอบและตดตามการใชทรพยากรของระบบและเครอขายคอมพวเตอร ดงน (๑) จดท าแผนการตรวจสอบและตดตามทรพยากรของระบบสารสนเทศ ดงน (๑.๑) ก าหนดประเภทของขอมลทใชในการตรวจสอบและตดตามการใชทรพยากรของระบบ เชน รอยละของการใชซพย รอยละของการใชหนวยความจ า รอยละของการใชพนทฮารดดสก และรอยละของปรมาณการใชเครอขาย เปนตน (๑.๒) ก าหนดคาปรมาณการใชทรพยากรสงสดบนระบบทยอมรบได คาตางๆ เหลานใชส าหรบเปนจดในการแจงเตอนวาระบบสารสนเทศไดมการใชทรพยากรมาจนถงคาสงสดทยอมรบไดแลวหรอไม เชน ก าหนดไวทรอยละ ๘๐ ของการใชซพย เปนตน (๑.๓) ก าหนดความถในการเขาตรวจสอบปรมาณการใชทรพยากรของระบบสารสนเทศ ส าหรบระบบทมความส าคญจากมากไปนอย ใหก าหนดแผนการตรวจสอบและตดตามทรพยากร

Page 16: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๖ -

ของระบบดวยความถในการตรวจสอบจากสงไปต า เชน ระบบทมความส าคญมากควรมความถในการตรวจสอบสงกวาระบบทมความส าคญปานกลางและนอย เปนตน (๒) ตดตามและตรวจสอบทรพยากรของระบบตามแผนการตรวจสอบและตดตามทรพยากรของระบบฯ ทไดก าหนดไวเพอดวายงมทรพยากรเพยงพอตอการใหบรการหรอไม (๓) รายงานขอมลผลการตดตามการใชทรพยากรของระบบสารสนเทศ เชน สถตปรมาณการใชซพย หนวยความจ า ฮารดดสก และปรมาณเครอขายคอมพวเตอร ใหผบงคบบญชาไดรบทราบอยางสม าเสมอ (๔) ประเมนความตองการทรพยากรของระบบสารสนเทศทตองการเพมเตมเพอน าไปใชในการวางแผนปรบปรงประสทธภาพและขดความสามารถของระบบตอไป

หมวด ๗ การปองกนชดค าสงไมพงประสงค

(Protection Against Malicious Code)

ขอ ๓๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดมาตรการควบคมการเขาถงระบบเทคโนโลยสารสนเทศเพอปองกนชดค าสงไมพงประสงคดงน (๑) หามการตดตงซอฟตแวรอนๆ หรอซอฟตแวรทไดมาจากแหลงภายนอก รวมทงการใชแฟมขอมล (File) อนทกองทพบกไมอนญาตใหใชงาน (๒) ใหมการตรวจสอบซอฟตแวรหรอขอมลในระบบงานส าคญอยางสม าเสมอ เพอปองกนการตดตงซอฟตแวรหรอขอมลในระบบงานนนโดยไมไดรบอนญาต (๓) ใหตดตงซอฟตแวรเพอปองกนชดค าสงไมพงประสงคใหกบระบบเทคโนโลยสารสนเทศของกองทพบก (๔) ใหผดแลระบบด าเนนการตรวจสอบชดค าสงไมพงประสงคในเครองคอมพวเตอรทใหบรการและอปกรณเทคโนโลยสารสนเทศอนๆ ในบรเวณจดทางเขา-ออกเครอขายอยางสม าเสมอเพอดกจบชดค าสงไมพงประสงคทจะเขาสระบบ (๕) ก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบการจดการกบ ชดค าสงไมพงประสงคไดแกการรายงานการเกดขนของชดค าสงไมพงประสงค การวเคราะห การจดการ การกคนระบบจากความเสยหายทตรวจพบ เปนตน (๖) มการตดตามขอมลขาวสารเกยวกบชดค าสงไมพงประสงคอยางสม าเสมอ (๗) ใหมการสรางความตระหนกเกยวกบชดค าสงไมพงประสงคเพอใหเจาหนาทมความรความเขาใจและสามารถปองกนตนเองไดและใหรบทราบขนตอนปฏบตเมอพบเหตชดค าสงไมพงประสงควาตองด าเนนการอยางไร รวมทงใหหนวยมการจดการฝกอบรมสรางความตระหนกอยางนอยปละ ๑ ครง

หมวด ๘ การจดการเขาถงขอมลสารสนเทศและโปรแกรมประยกต

ขอ ๓๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการจดการกบขอมลในแตละชนความลบ ดงน

Page 17: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๗ -

(๑) ก าหนดระดบชนความลบของขอมลซงอยางนอยประกอบดวย ขอมลทวไป ขอมลสวนบคคล ขอมลใชภายใน และขอมลลบ (๒) ก าหนดแนวทางในการจดหมวดหมขอมลเปนชนความลบทเหมาะสมซงควรพจารณาจดหมวดหมจาก (๒.๑) แหลงทมาของขอมล เชน หากขอมลนนมาจากภายนอกและเปนขอมลลบ ชนความลบกจะตองคงไวเชนเดม หรอหากขอมลนนมาจากอนเทอรเนต ชนความลบกจะเปนประเภทเปดเผยได เปนตน (๒.๒) วธการน าไปใชประโยชน เชน หากขอมลนนสามารถน าไปใชประโยชนในเชงพาณชยได หากถกเปดเผยจะสงผลกระทบดานระบบงบประมาณของหนวย ดงนนขอมลนจะอยในประเภทลบ เปนตน (๒.๓) จ านวนบคคลทควรรบทราบ เชน หากขอมลนนสามารถเปดเผยตอผใชงานขอมลเปนจ านวนมาก ชนความลบจะเปนขอมลเปดเผยได เปนตน (๒.๔) ผลกระทบหากมการเปดเผย เชน หากขอมลนนถกเปดเผย จะมผลกระทบดานชอเสยงและภาพลกษณ ดานการงบประมาณ ดานการไมปฏบตตามกฎระเบยบขอบงคบทหนวยก าหนดตองปฏบตตาม หรอดานการมสวนไดสวนเสยของผทเกยวของ ดงนนขอมลจะสามารถจดอยในประเภทใชภายในเทานน หรอประเภทชนความลบ เปนตน (๓) ก าหนดขนตอนปฏบตเพอจดการกบขอมลตามระดบชนความลบ ขนตอนฯ ควรประกอบดวย การควบคมการประมวลผล การควบคมการเขาถง การจดเกบ การจดการกบสอบนทกขอมล การท าปายบงช และการสอสารขอมลอยางมนคงปลอดภย (๔) ก าหนดใหมการจ ากดการเขาถงขอมลส าคญเพอปองกนการเขาถงโดยไมไดรบอนญาต (๕) ก าหนดมาตรการท าลายสอบนทกขอมลเพอปองกนการเขาถงขอมลส าคญทยงคงคางอยบนสอบนทกขอมลนน โดยอาจปฏบตตามแนวทางดงน

ประเภทสอบนทกขอมล วธการท าลาย

Flash Drive ใชวธการทบหรอบดใหเสยหาย

กระดาษ ใชการตดดวยเครองท าลายเอกสาร

แผน CD/DVD ใชการตดดวยเครองท าลายเอกสาร

เทป ใชวธการทบหรอบดใหเสยหาย หรอเผาท าลาย

ฮารดดสก ใชการท าลายขอมลบนฮารดดสกดวยวธการฟอร

แมต (Format) ตาม มาตรฐานการท าลายขอมล

บนฮารดดสกของกระทรวงกลาโหม

สหรฐอเมรกา DOD 5220.33-M (ซงมการฟอร

แมตเปนจ านวนหลายรอบ)

Page 18: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๘ -

(๖) ก าหนดมาตรการเพอตรวจสอบวาขอมลทน าออกจากระบบงานมความถกตองและสมบรณกอนทจะน าไปใชงานตอไป (๗) ก าหนดมาตรการปองกนขอมลส าคญทมการสงพมพออกมาทางเครองพมพเพอปองกนการเขาถงโดยผอน (๘) จดท าบญชรายชอผมสทธเขาถงขอมลและสอบนทกขอมลส าคญ และมการทบทวนบญชรายชออยางสม าเสมอ (๙) มาตรการในการน าวธการเขารหสมาใชกบขอมลชนความลบ ใหปฏบตตาม ระเบยบวาดวยการรกษาความลบทางราชการ พ.ศ.๒๕๔๔ และระเบยบกองทพบกวาดวยการรกษาความปลอดภยทางการอกษรลบ พ.ศ.๒๕๑๕ ขอ ๓๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการสรางความมนคงปลอดภยส าหรบเอกสารระบบ (Security of System Documentation) ดงน (๑) จดเกบเอกสารทเกยวของกบระบบเทคโนโลยสารสนเทศไวในสถานททมนคงปลอดภย (๒) ใหมการควบคมการเขาถงเอกสารทเกยวของกบระบบเทคโนโลยสารสนเทศโดยผเปนเจาของระบบนน (๓) ควบคมการเขาถงเอกสารทเกยวของกบระบบเทคโนโลยสารสนเทศทจดเกบหรอเผยแพรอยบนเครอขายสาธารณะ เชน อนเทอรเนต เปนตน เพอปองกนการเขาถงหรอเปลยนแปลงแกไขเอกสารนน ขอ ๓๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดนโยบายและขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ (Information Exchange Policies and Procedures) ดงน (๑) จดท านโยบายหรอแนวทางการใชอยางเหมาะสมส าหรบการใชงานระบบหรออปกรณทใชในการสอสารขอมลระหวางกองทพบก เชน หามใชเพอกอความร าคาญแกผอน ท าใหผอนสญเสยชอเสยง ปลอมเปนบคคลอน เปนตน (๒) มวธการทางเทคนคปองกนขอมลส าคญจากการถกเขาถง ถกเปลยนแปลงแกไข ถกสวมรอยโดยผอน ถกเปดเผยความลบ โดยไมไดรบอนญาต (๓) จดท าแนวทางส าหรบการจดเกบ การท าลาย และระยะเวลาการจดเกบส าหรบขอมลหรอเอกสารโตตอบ และแนวทางควรสอดคลองกบกฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดอนๆ ทหนวยตองปฏบตตาม ขอ ๓๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดขอตกลงในการแลกเปลยนสารสนเทศ (Exchange Agreements) ดงน ควรจดท าแนวทางขอตกลงส าหรบการแลกเปลยนสารสนเทศระหวางหนวยงานภายในกบหนวยงานภายนอกดงตอไปน (๑) ก าหนดนโยบายขนตอนปฏบต และมาตรฐานเพอปองกนขอมลและสอบนทกขอมลทจะมการขนยายหรอสงไปยงอกสถานทหนง (๒) ก าหนดหนาทความรบผดชอบของผทเกยวของและขนตอนปฏบตในการแลกเปลยนขอมล เชน วธการสง วธการรบ เปนตน (๓) ก าหนดหนาทความรบผดชอบในการปองกนขอมล (๔) ก าหนดขนตอนปฏบตส าหรบตรวจสอบวาใครเปนผสงขอมลและใครเปนผรบขอมลเพอเปนการปองกนการปฏเสธความรบผดชอบ

Page 19: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๑๙ -

(๕) ก าหนดความรบผดชอบส าหรบกรณทขอมลทแลกเปลยนกนเกดการสญหายหรอเกดเหตการณความเสยหายอนๆ กบขอมลนน (๖) ก าหนดสทธการเขาถงขอมล (๗) ก าหนดมาตรฐานทางเทคนคทใชในการเขาถงขอมลหรอซอฟตแวร (๘) ก าหนดมาตรการพเศษส าหรบปองกนเอกสาร ขอมล ซอฟตแวร หรออนๆ ทมความส าคญ เชน กญแจทใชในการเขารหส เปนตน

ขอ ๔๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดระบบงานสารสนเทศทางตามภารกจทไดรบมอบทมการเชอมโยงถงกน พจารณาประเดนตางๆ ทางดานความมนคงปลอดภย และจดออนตางๆ กอนตดสนใจใชขอมลรวมกนในระบบงาน หรอระบบเทคโนโลยสารสนเทศทจะเชอมโยงเขาดวยกน เชน ระหวางหนวยภายในกองทพบก หรอหนวยงานอนๆทจะมาขอเชอมโยงกบกองทพบก เปนตนดงน (๑) ก าหนดนโยบายและมาตรการเพอควบคม ปองกน และบรหารจดการการใชขอมลรวมกน

(๒) พจารณาจ ากดหรอไมอนญาตการเขาถงขอมลสวนบคคล (๓) พจารณาวามก าลงพลใดบางทมสทธหรอไดรบอนญาตใหเขาใชงาน (๔) พจารณาเรองการลงทะเบยนผใชงาน (๕) ไมอนญาตใหมการใชงานขอมลส าคญหรอขอมลทก าหนดชนความลบรวมกนในกรณทระบบไมมมาตรการปองกนเพยงพอ ขอ ๔๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการหมดเวลาหรอหมดอายการใชงานระบบสารสนเทศ (Session Time-Out) ดงน (๑) ก าหนดใหระบบเทคโนโลยสารสนเทศ เชน ระบบงาน อปกรณเครอขาย เปนตน มการตดการตดตอและหมดเวลาการใชงาน รวมทงปดการใชงานดวย หลงจากทไมมกจกรรมการใชงานชวงระยะเวลาหนงทก าหนดไว (๒) ก าหนดใหระบบเทคโนโลยสารสนเทศมการตดการตดตอและหมดเวลาการใชงานทสนขนส าหรบระบบเทคโนโลยสารสนเทศทมความเสยงสง เชน ระบบงานทมขอมลส าคญ ระบบงานทก าหนดชนความลบ เปนตน เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต (๓) แนวทางปฏบตดงน (๓.๑) เมอผใชงานไมไดใชงานหรอวางเวนจากการใชงานในระยะเวลา ๕ นาทหรอตามทผรบผดชอบก าหนด ใหมการตดการเชอมตอการใชงานออกจากระบบสารสนเทศโดยอตโนมต (๓.๒) ถามความพยายามเขาสระบบใหม ใหยนยนการใชงานโดยใสชอผ ใช (username ) และรหสผาน (password) หรอวธการทปลอดภยในการยนยนตวบคคลในทกๆ ครง ขอ ๔๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการจ ากดระยะเวลาการเชอมตอระบบเทคโนโลยสารสนเทศ (Limitation of connection time) ดงน (๑) ก าหนดใหระบบงานสารสนเทศมการจ ากดชวงระยะเวลาการเชอมตอส าหรบการใชงานเพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน (๒) ก าหนดใหระบบงานสารสนเทศ เชน ระบบงานทมความส าคญสง ระบบงานทมการใชงานในสถานททมความเสยง (ในทสาธารณะหรอพนทภายนอกหนวย) ระบบงานทก าหนดชนความลบ เปนตน มการจ ากดชวงระยะเวลาการเชอมตอเพอปองกนบคคลทไมมสวนเกยวของเขาถงขอมลไดโดยงาย (๓) แนวทางปฏบตดงน

Page 20: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๐ -

(๓.๑) การเชอมตอเขาสระบบสารสนเทศของกองทพบก ก าหนดใหใชงานได ๒ ชวโมงตอการเชอมตอหนงครง หรอตามทผบงคบบญชาเหนสมควร (๓.๒) การเชอมตอเขาสระบบสารสนเทศของกองทพบก ก าหนดใหใชงานไดเฉพาะในชวงเวลาการท างานตามปกตเทานน (๓.๓) การเชอมตอเขาสระบบสารสนเทศของกองทพบก ถากระท าในชวงนอกเวลาท างานตามปกต ตองไดรบอนมตจากผบงคบบญชาเปนลายลกษณอกษร

ขอ ๔๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดคณสมบตของการลอกอน (Login) ทมความมนคงปลอดภยส าหรบระบบงานสารสนเทศ ส าหรบเครองคอมพวเตอรใหบรการหรออปกรณเครอขายคอมพวเตอรทหนวยรบผดชอบ ดงน (๑) ไมมหรอไมแสดงฟงกชน (Function) ใหการชวยเหลอในระหวางทท าการลอกอน (Login) (๒) บนทกความพยายามในการลอกอนทงทส าเรจและไมส าเรจและแสดงประวตการลอกอน ๓ ครงลาสด (๓) ตดการเชอมตอหลงจากทท าการลอกอนไมส าเรจเกนกวา ๓ ครง (๔) เมอมการใสขอมลบญชชอผใชงานและรหสผานทไมถกตอง ใหแสดงขอความรวมๆ เชน “ขอมลการลอกอน ไมถกตอง” (๕) ใหแสดงขอความเตอนทหนาจอภายหลงจากการลอกอนเสรจสน ขอความเตอนดงกลาว ไดแก “ระบบนเปนระบบทเปนทรพยสนของกองทพบก การใชงานจะตองไดรบการอนมตกอนเทานนจงจะสามารถใชงานได ผทไมไดรบสทธและเขามาใชระบบงาน หากมการตรวจพบ อาจมการลงโทษทางวนย หรอด าเนนการทางกฎหมายตามความเหมาะสม กองทพบกมสทธในการตรวจสอบพฤตกรรมการใชงานในระหวางทผใชงานใชระบบงานนโดยไมถอวาเปนการละเมดความเปนสวนตว” (๖) ไมแสดงรายละเอยดของระบบใดๆ จนกวาจะลอกอนส าเรจ ขอ ๔๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการบนทกเหตการณทเกยวของกบการใชงานสารสนเทศ (Audit Logging) ของระบบงานภายในกองทพบกดงน จดใหมการบนทกขอมลพฤตกรรมการใชงานขอมลโดยการจดเกบ Audit Log เปน Log File ทใชเกบขอมลการเขาถงระบบของผใช เพอตรวจสอบวาใครเขามาใชงานระบบ การตรวจสอบการบกรก รวมไปถงการตรวจสอบขอผดพลาดทเกดขน โดยจดท ารายงานเบองตนสรปขอมลวา ใคร (Who) ท าอะไร (What) เมอไหร (When) ทไหน (Where) และอยางไร (How) ดงนนขอมลทควรจดเกบมดงน (๑) ขอมลชอบญชผใชระบบงาน (๒) ขอมลวนเวลาทเขาถงระบบงาน (๓) ขอมลวนเวลาทออกจากระบบงาน (๔) ขอมลเหตการณส าคญทเกดขน (๕) ขอมลชอเครองคอมพวเตอรทใชงาน (๖) ขอมลการเขาถงระบบ (Log in) ทงทส าเรจและไมส าเรจ (๗) ขอมลความพยายามในการเขาถงทรพยากร เชน ขอมลบญชผใชฐานขอมลส าคญของระบบงาน เปนตน ทงทส าเรจและไมส าเรจ (๘) ขอมลการเปลยนแปลงสงแวดลอมหรอการก าหนดคา (Configuration) ของระบบงาน (๙) ขอมลแสดงการใชสทธ เชน สทธของผดแลระบบ เปนตน

Page 21: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๑ -

(๑๐) ขอมลแสดงการใชงานโปรแกรมประยกต (Application Program) (๑๑) ขอมลแสดงการเขาถงแฟมขอมล (File) และการกระท ากบแฟมขอมล (File) เชน เปด ปด เขยน อานแฟมขอมล เปนตน (๑๒) ขอมลไอพแอดเดรสทเขาถง (๑๓) ขอมลโพรโตคอลของเครอขายทใชงาน (๑๔) ขอมลการแจงเตอนเกยวกบการเขาถงระบบจากการบกรก (๑๕) ขอมลแสดงการหยดการท างานของระบบปองกนการบกรก (๑๖) ขอมลแสดงการหยดการท างานของระบบงานส าคญๆ (๑๗) ขอมลแสดงการส ารองขอมลไมส าเรจ

หมวด ๙

การบรหารจดการการเขาถงระบบเครอขายสอสารขอมล ขอ ๔๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดมาตรการทางเครอขายสอสารขอมล (Network Controls) ก าหนดมาตรการทางเครอขายสอสารขอมลเพอปองกนขอมลในเครอขาย ระบบงาน หรอบรการตางๆ จากการถกเขาถงหรอถกท าลายโดยไมไดรบอนญาต ดงตอไปน (๑) ก าหนดบคลากรผมหนาทรบผดชอบ ความรบผดชอบ และขนตอนปฏบตส าหรบการบรหารจดการอปกรณเครอขายทใชในการเขาถงจากระยะไกล (๒) ก าหนดขนตอนปฏบตส าหรบการบรหารจดการบญชผใชงานและอปกรณทอนญาตใหสามารถเขาใชระบบเทคโนโลยสารสนเทศจากระยะไกล (๓) ก าหนดมาตรการพเศษเพอปองกนความลบและความถกตองของขอมลส าคญเมอตองสงผานขอมลนนทางเครอขายสาธารณะ เชน เครอขายอนเทอรเนต เครอขายไรสาย เปนตน (๔) ก าหนดมาตรการเพอปองกนระบบเทคโนโลยสารสนเทศทมการเชอมโยงกบเครอขายสาธารณะ (๕) ก าหนดมาตรการเพอเฝาระวงสภาพความพรอมใชของระบบเทคโนโลยสารสนเทศตางๆ เพอใหสามารถใชงานไดอยางตอเนอง (๖) มการบนทกขอมลพฤตกรรมการใชงานเกบ Log ของอปกรณเครอขายเพอใชในการตรวจสอบอยางสม าเสมอ (๗) มการใชฮารดแวรหรอซอฟตแวร ส าหรบการบรหารจดการเครอขาย เพอระบ เฝาตรวจ ตดตามสถานะ อปกรณในระบบสารสนเทศของกองทพบก ขอ ๔๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการควบคมการเขาถงระบบเครอขายดงน (๑) ผดแลระบบ ตองมการออกแบบแบงระบบเครอข ายตามกลมของบรการระบบเทคโนโลยสารสนเทศและการสอสารทมการใชงาน กลมของผใช และกลมของระบบสารสนเทศ เชน เขตภายใน (Internal Zone) เขตภายนอก (External Zone) เปนตน เพอเปนการควบคม และปองกนการบกรกไดอยางเปนระบบ

Page 22: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๒ -

(๒) ผดแลระบบ ควรด าเนนการแยกและตดตง เครองคอมพวเตอรใหบรการไวในวงเครอขายทแยกตางหากจากวงเครอขายของผใชงาน และใช Firewall หรออปกรณเครอขายอนๆ เพอจ ากดใหเฉพาะกลมผใชงานทไดรบอนญาตเทานน จงจะสามารถเชอมตอเขาไปยงเครองคอมพวเตอรใหบรการนนได และส าหรบแนวทางปฏบตการใชงานของไฟรวอลล (Firewall) ของกองทพบก มดงน (๒.๑) ผดแลระบบมหนาทในการบรหารจดการ การตดตง และก าหนดคาของไฟรวอลลทงหมด (๒.๒) การก าหนดคาเรมตนพนฐานของทกเครอขายจะตองเปนการปฏเสธทงหมด (๒.๓) ทกเสนทางเชอมตออนเทอรเนตและบรการอนเทอรเนตทไมอนญาตตามนโยบาย จะตองถกบลอก (Block) โดยไฟรวอลล (๒.๔) ผใชงานอนเทอรเนตจะตองมการ Login account กอนการใชงานทกครง (๒.๕) คาการเปลยนแปลงทงหมดในไฟรวอลล เชน คาพารามเตอร การก าหนดคาใชบรการ และการเชอมตอทอนญาต จะตองมการบนทกการเปลยนแปลงทกครง (๒.๖) การเขาถงตวอปกรณไฟรวอลล จะตองสามารถเขาถงไดเฉพาะผทไดรบมอบหมายใหดแลจดการเทานน (๒.๗) ขอมลจราจรทางคอมพวเตอรทเขาออกอปกรณไฟรวอลล จะตองสงคาไปจดเกบทอปกรณจดเกบขอมลจราจรทางคอมพวเตอร โดยจะตองจดเกบขอมลจราจรไมนอยกวา ๙๐ วน (๒.๘) การก าหนดระเบยบในการใหบรการอนเทอรเนตกบเครองคอมพวเตอรลกขายจะเปดพอรตการเชอมตอพนฐานของโปรแกรมทวไป ททางกองทพบกอนญาตใหใชงาน ซงหากมความจ าเปนทจะใชงานพอรตการเชอมตอนอกเหนอทก าหนด จะตองไดรบความยนยอมจากกองทพบกกอน (๒.๙) การก าหนดคาการใหบรการของเครองคอมพวเตอรแมขายในแตละสวนของเครอขาย จะตองก าหนดคาอนญาตเฉพาะพอรตการเชอมตอทจ าเปนตอการใหบรการเทานน โดยขอนโยบายจะตองถกระบใหกบเครองคอมพวเตอรแมขายเปนรายเครองทใหบรการจรง (๒.๑๐) จะตองมการส ารองขอมลการก าหนดคาตางๆ ของอปกรณไฟรวอลลเปนประจ าทกสปดาห หรอทกครงทมการเปลยนแปลงคา (๒.๑๑) เครองคอมพวเตอรแมขายทใหบรการระบบงานสารสนเทศตางๆ จะตองไมอนญาตใหมการเชอมตอเพอใชงานอนเทอรเนต เวนแตมความจ าเปน โดยจะตองก าหนดเปนกรณไป (๒.๑๒) ผดแลระบบมสทธทจะระงบหรอบลอกการใชงานของเครองคอมพวเตอร ทมพฤตกรรมการใชงานทผดนโยบาย หรอเกดจากการท างานของโปรแกรมทม ความเสยงตอความปลอดภย จนกวาจะไดรบการแกไข (๒.๑๓) การเชอมตอในลกษณะของการ Remote Login จากภายนอกมายงเครองแมขาย หรออปกรณเครอขายภายใน จะตองบนทกรายการของการด าเนนการตามแบบการขออนญาตด าเนนการเกยวกบเครองคอมพวเตอรแมขายและอปกรณเครอขาย และจะตองไดรบความเหนชอบจากผดแลระบบกอน (๒.๑๔) ผละเมดนโยบายดานความปลอดภยของไฟรวอลล จะถกระงบการใชงานอนเทอรเนตหรอเชอมตอเครอขายภายในโดยทนท (๓) การเขาสระบบเครอขายภายในของกองทพบก โดยผานทางอนเทอรเนตจะตองไดรบการอนมตเปนลายลกษณอกษรจากผบงคญบญชากอนทจะสามารถใชงานไดในทกกรณ (๔) ผดแลระบบ ตองมวธการจ ากดสทธการใชงานเพอควบคมผใชใหสามารถใชงานเฉพาะเครอขายทไดรบอนญาตเทานน

Page 23: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๓ -

(๕) ผดแลระบบ ตองจ ากดเสนทางการเขาถงเครอขายทมการใชงานรวมกน (๖) ผดแลระบบ จดใหมวธเพอจ ากดการใชเสนทางบนเครอขาย (Enforced Path) จากเครองคอมพวเตอรใชงานไปยงเครองคอมพวเตอรใหบรการ เชน ในการเชอมตอเขาสเครองคอมพวเตอรใหบรการเพอบรหารจดการระบบ ใหก าหนดเฉพาะชดไอพแอดเดรสของผดแลระบบเทานนทสามารถเขาถงเครองคอมพวเตอรใหบรการนนได (๗) ผดแลระบบ ตรวจสอบและปดพอรต (Port) ของอปกรณเครอขายทไมมความจ าเปนในการใชงาน (๘) ก าหนดบคคลทรบผดชอบในการก าหนด แกไข หรอเปลยนแปลงคาตวแปร (Parameter) ตาง ๆ ของระบบเครอขายและอปกรณตาง ๆ ทเชอมตอกบระบบเครอขายอยางชดเจน และมการทบทวนการก าหนดคาตวแปร (Parameter) ตาง ๆ อยางนอยปละครง นอกจากน การก าหนดแกไขหรอเปลยนแปลงคาตวแปร (Parameter) ควรแจงบคคลทเกยวของใหรบทราบทกครง (๙) ระบบเครอขายทงหมดของหนวยทมการเชอมตอไปยงระบบเครอขายอน ๆ ภายนอกหนวย ตองเชอมตอผานอปกรณปองกนการบกรกหรอโปรแกรมในการท า Packet filtering เชน การใช Firewall หรอ Hardware อน ๆ เปนตน

(๑๐) มการตดตงระบบตรวจจบและปองกนการบกรก (IDS/IPS) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายของหนวยในลกษณะทผดปกตผานระบบเครอขาย โดยมการตรวจสอบการบกรกผานระบบเครอขาย การใชงานในลกษณะทผดปกตและการแกไขเปลยนแปลงระบบเครอขายโดยบคคลทไมมอ านาจหนาทเกยวของ และส าหรบแนวทางปฏบตการใชงานของอปกรณปองกนการบกรก (IDS/IPS) ดงน (๑๐.๑) เปนการตดตงระบบตรวจสอบการบกรก และตรวจสอบความปลอดภยของเครอขาย เพอปองกนทรพยากร ระบบสารสนเทศ และขอมลบนเครอขายภายในของกองทพบก ใหมความมนคงปลอดภย เปนแนวทางการปฏบตเกยวกบการตรวจสอบการบกรกเครอขาย พรอมกบบทบาทและความรบผดชอบทเกยวของ (๑๐.๒) ใหครอบคลมทกโฮสต (Host) ในเครอขายของกองทพบกและเครอขายขอมลทงหมด รวมถงเสนทางทขอมลอาจเดนทาง ทงทเชอมตอสเครอขายภายนอก และเคร อขายภายในทกเสนทาง (๑๐.๓) ระบบทงหมดทสามารถเขาถงไดจากเครอขายภายนอกหรอเครอขายสาธารณะตางๆ จะตองผานการตรวจสอบจากระบบ IDS/IPS (๑๐.๔) ระบบทงหมดใน DMZ จะตองไดรบการตรวจสอบรปแบบการใหบรการกอนการตดตงและเปดใหบรการ (๑๐.๕) โฮสตและเครอขายทงหมดทมการสงผานขอมลผาน IDS/IPS จะตองมการบนทกผลการตรวจสอบ (๑๐.๖) มการตรวจสอบและ Update Patch/Signature ของ IDS/IPS เปนประจ า (๑๐.๗) มการตรวจสอบเหตการณ ขอมลจราจร พฤตกรรมการใชงาน กจกรรม และบนทกปรมาณขอมลเขาใชงานเครอขายเปนประจ าทกวนโดยผดแลระบบ (๑๐.๘) IDS/IPS จะท างานภายใตกฎควบคมพนฐานของไฟรวอลล ทใชในการเขาถงเครอขายของระบบสารสนเทศตามปกต (๑๐.๙) เครองคอมพวเตอรทใหบรการทมการตดตง host-based IDS จะตองมการตรวจสอบขอมลประจ าวน

Page 24: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๔ -

(๑๐.๑๐) พฤตกรรมการใชงาน กจกรรม หรอเหตการณทงหมด ทมความเสยงตอการบกรก การโจมตระบบ พฤตกรรมทนาสงสย หรอการพยายามเขาระบบ ทงทประสบความส าเรจและไมประสบความส าเรจ จะตองมการรายงานใหผบงคบบญชาทราบทนททตรวจพบ (๑๐.๑๑) พฤตกรรม กจกรรมทนาสงสย หรอระบบการท างานทผดปกต ทถกคนพบ จะตองมการรายงานใหผบงคบบญชาทราบ ภายใน ๑ ชวโมงทตรวจพบ (๑๐.๑๒) การตรวจสอบการบกรกทงหมดจะตองเกบบนทกขอมลไวไมนอยกวา ๙๐ วน (๑๐.๑๓) มรปแบบการตอบสนองตอเหตการณทเกดขน ไดแก รายงานผลการตรวจพบของเหตการณตางๆ ด าเนนการตามขนตอนเพอลดความเสยหาย ลบซอฟตแวรมงรายทตรวจพบ ปองกนเหตการณทอาจเกดอกในอนาคต และด าเนนการตามแผนเผชญเหตทเกดขน (๑๐.๑๔) ผดแลระบบมสทธในการยตการเชอมตอเครอขายของเครองคอมพวเตอรทมพฤตกรรมเสยงตอการบกรกระบบ โดยไมตองมการแจงแกผใชงานลวงหนา (๑๐.๑๕) ผทถกตรวจสอบวาพยายามกระท าการอนใดทเปนการละเมดระเบยบของกองทพบก การพยายามเขาถงระบบโดยมชอบ การโจมตระบบ หรอมพฤตกรรมเสยงตอการท างานของระบบสารสนเทศ จะถกระงบการใชเครอขายทนท หากการกระท าดงกลาวเปนการกระท าความผดทสอดคลองกบ พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ หรอเปนการกระท าทสงผลใหเกดความเสยหายตอขอมล และทรพยากรระบบของกองทพบก จะตองถกด าเนนคดตามขนตอนของกฎหมายตอไป (๑๑) การเขาสระบบงานเครอขายภายในหนวย ผานทางอนเทอรเนตตองมการ Login และตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง (๑๒) ขอมลหมายเลขชดอนเทอรเนตของคอมพวเตอร (IP Address) ภายใน (Local) ของระบบงานเครอขายภายในของหนวย จ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายและสวนประกอบของศนยเทคโนโลยสารสนเทศของหนวยไดโดยงาย (๑๓) จดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ (๑๔) การใชเครองมอตาง ๆ (Tools) เพอการตรวจสอบระบบเครอขาย ตองไดรบการอนมตจากผบงคบบญชาหรอผรบมอบอ านาจ และจ ากดการใชงานเฉพาะเทาทจ าเปน (๑๕) การตดตงและการเชอมตออปกรณเครอขายจะตองด าเนนการโดยเจาหนาทศนยเทคโนโลยสารสนเทศของหนวย และจะตองจดท าเปนบญชไวส าหรบระบอปกรณบนเครอขายได (๑๖) การบรหารจดการการบนทกและตรวจสอบ ก าหนดใหมการบนทกการท างานของระบบปองกนการบกรก เชน บนทกการเขาออกระบบ บนทกการพยายามเขาสระบบ บนทกการใชงาน Command Line และ Firewall Log เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกดงกลาวไวอยางนอยกวา ๓ เดอน หรอไมต ากวา ๙๐ วน (๑๗) มการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ

Page 25: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๕ -

หมวด ๑๐ การควบคมการพฒนาหรอจดหาระบบงาน

(Control of Application Development or Acquisition) ขอ ๔๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองควบคมการพฒนาหรอจดหาระบบงานเพอใหระบบงานทไดรบมความมนคงปลอดภยเพยงพอ ดงน (๑) ใหประเมนความเสยงและระบขอก าหนดทางดานความมนคงปลอดภย (Security Requirements) ของระบบงานทจะจดหาหรอพฒนาอยางเปนลายลกษณอกษร ขอก าหนดดงกลาวอยางนอยควรม (๑.๑) คณสมบตของการลอกอนเขาสระบบงานทมความมนคงปลอดภย ตามหมวด ๘ (๑.๒) การก าหนดหรอตงรหสผานทมความมนคงปลอดภยส าหรบเขาถงระบบงานสารสนเทศตามหมวด ๔ (๑.๓) การเขารหสขอมลส าคญทมการรบ-สงขอมลระหวางเครองผใชงานกบเครองคอมพวเตอรใหบรการ (๑.๔) การเขารหสขอมลส าคญ เชน ขอมลลบ ทจดเกบไวในฐานขอมล (๑.๕) การตดและหมดเวลาการใชงานหลงจากทไมไดใชระบบงานเกนกวาระยะเวลาตามทก าหนดไว เชน ๑๕ - ๓๐ นาท เปนตน (๑.๖) การบนทกบญชชอผใชงานทลอกอนเขาระบบ หมายเลขไอพแอดเดรส วนเวลาทเขาใชระบบ ความส าเรจหรอไมส าเรจในการลอกอนของผใชงาน (๒) พฒนาหรอจดหาระบบงานใหไดตามขอก าหนดทางดานความมนคงปลอดภยทระบไว (๓) พฒนาหรอจดหาระบบงานเพอใหมหนาจอส าหรบผดแลระบบเพอท าการบนทกและปรบปรงสทธของผใชงานได รวมทงตองสามารถบนทกสทธดงกลาวลงเกบไวในฐานขอมลไดดวย (๔) ก าหนดใหมการจดท าแผนการทดสอบโดยผพฒนาระบบ น าเสนอแผนดงกลาวเพอพจารณาอนมตโดยผบงคบบญชาหรอผทไดรบการมอบอ านาจ ด าเนนการทดสอบตามแผนฯ บนทกผลการทดสอบ และรายงานผลการทดสอบใหผบงคบบญชาไดรบทราบเพอใหค าแนะน าในการปรบปรงตางๆ ทจ าเปน แผนการทดสอบทจดท าอยางนอยประกอบดวย (๔.๑) แผนการทดสอบ UAT (User Acceptance Test) (๔.๒) แผนการทดสอบ System Integration Test (๔.๓) แผนการทดสอบขอก าหนดทางดานความมนคงปลอดภย (Security Test) (๕) ไมอนญาตการน าขอมลส าคญของกองทพบกไปใชในการทดสอบกบระบบงานเพอปองกนการรวไหลของขอมล เวนเสยแตไดรบการอนมตจากผบงคบบญชาระดบสงกอน และหากเปนไปได ใหตดขอมลสวนทส าคญทงไป ใหเหลอเฉพาะสวนทเพยงพอตอการน าไปใชในการทดสอบ

Page 26: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๖ -

หมวด ๑๑ การบรหารจดการการเขาถงเครองคอมพวเตอรทใหบรการ (Server)

ขอ ๔๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการควบคมการตดตงซอฟตแวรลงไปยงระบบเครองคอมพวเตอรทใหบรการ (Control of operational software) (๑) ใหมการควบคมการเปลยนแปลงตอระบบงานของหนวยเพอปองกนความเสยหายหรอการหยดชะงกทมตอระบบงานนน (๒) ใหผดแลระบบทไดรบการอบรมแลว หรอมความช านาญเทานน ทจะเปนผท าหนาทด าเนนการเปลยนแปลงตอระบบงานของหนวย (๓) การตดตงหรอปรบปรงซอฟตแวรของระบบงานตองมการขออนมตใหตดตงกอนด าเนนการ (๔) ก าหนดใหมการจดเกบซอรสโคดและไลบรารส าหรบซอฟตแวรของระบบงานไวในสถานททมความมนคงปลอดภย (๕) ก าหนดใหผใชงาน หรอผทเกยวของตองท าการทดสอบระบบงานตามจดประสงคทก าหนดไวอยางครบถวน เพยงพอ กอนด าเนนการตดตงบนเครองใหบรการระบบงาน เชน ซอฟตแวรระบบปฏบตการ ซอฟตแวรทเปนตวระบบงาน เปนตน (๖) ใหผทเกยวของตองท าการทดสอบดานความมนคงปลอดภยของระบบงานอยางครบถวน กอนด าเนนการตดตงบนเครองใหบรการระบบงาน (๗) ท าการปรบปรงไลบรารส าหรบซอฟตแวรของระบบงานใหมความทนสมยและสอดคลองกบทงหมดทการตดตง (๘) ในกรณทเปนการตดตงระบบเพอทดแทนระบบงานเดม ใหท าการส ารองขอมลทจ าเปน เชน ฐานขอมล ซอฟตแวร คาคอนฟกกเรชน หรออนๆ ทเกยวของกบระบบงานนน หากการตดตงท าไมส าเรจ จะไดสามารถถอยหลงกลบไปใชระบบงานเดมได (๙) ในกรณทมความจ าเปนตองแปลงขอมลในระบบงานเดมไปสขอมลในระบบงานทจะท าการตดตง ใหก าหนดแผนการถายโอนหรอแปลงขอมลจากระบบงานเดมไปสระบบงานใหม ถายโอนขอมลตามแผนฯ และรวมกบผใชงานเพอตรวจสอบวาขอมลทมการถายโอนไปนนมความถกตองและครบถวนหรอไม (๑๐) ใหก าหนดแผนการตดตงส าหรบระบบงานซงรวมถงระยะเวลาทจะด าเนนการ รวมทงแจงใหผทเกยวของไดรบทราบกอนลวงหนา เชน แผนการตดตงฮารดแวร ซอฟตแวร และอนๆ (๑๑) ส าหรบซอฟตแวรทจะท าการตดตง ใหตรวจสอบกอนวาจะไมเปนการละเมดลขสทธของผผลตซอฟตแวรนน (๑๒) ใหอานและปฏบตตามเงอนไขหรอขอตกลงการใชงานซอฟตแวรทจะท าการตดตงอยางเครงครด (๑๓) ส าหรบการตดตงซอฟตแวรยทลต (Utility Software) ตองตรวจสอบกอนวาเปนซอฟตแวรทมการท างานทถกตองและเชอถอได (๑๔) ตดตงโปรแกรมแกไขชองโหวตางๆ (Patch) ทเกยวของกบระบบงานตามความจ าเปน เชน โปรแกรมแกไขชองโหวส าหรบระบบปฏบตการ โปรแกรมแกไขชองโหวส าหรบระบบบรหารจดการฐานขอมล เปนตน (๑๕) ตรวจสอบและปดพอรต (Port) บนระบบงานทไมมความจ าเปนในการใชงานกอนเปดระบบใหบรการ

Page 27: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๗ -

(๑๖) จดใหมการปองกนไวรสคอมพวเตอรบนระบบงานทท าการตดตง (๑๗) จ ากดการเชอมตอทางเครอขายเพออนญาตใหเฉพาะกลมผใชงานทเกยวของเทานน จงจะสามารถเชอมตอเพอเขาสระบบงานทท าการตดตงนน ขอ ๔๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดใหมการทบทวนการท างานของระบบงานภายหลงจากทเปลยนแปลงระบบปฏบตการ (Technical review of applications after operating system changes) ดงน (๑) แจงใหผทเกยวของกบระบบงานไดรบทราบเกยวกบการเปลยนแปลงระบบปฏบตการเพอใหบคคลเหลานนมเวลาเพยงพอในการด าเนนการทดสอบและทบทวนกอนทจะด าเนนการเปลยนแปลงระบบปฏบตการ (๒) พจารณาวางแผนด าเนนการเปลยนแปลงระบบปฏบตการของระบบงาน รวมทงวางแผนดาน งบประมาณทจ าเปนตองใช ในกรณทกองทพบกตองเปลยนไปใชระบบปฏบตการใหม

หมวด ๑๒

การจางงานหนวยงานภายนอกใหบรการดานเทคโนโลยสารสนเทศ (Information Technology Service Delivery)

ขอ ๕๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางการควบคมการจางงานส าหรบการใหบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก ดงน (๑) จดใหมการควบคมโครงการทมการจดจางด าเนนการโดยหนวยงานภายนอก (๒) ก าหนดใหมการประเมนและจดท าแผนการลด ความเสยงส าหรบกรณการเขาถงระบบงานหรอสารสนเทศโดยหนวยงานภายนอก โดยปฏบตตามแนวทางการประเมนตามหมวด ๒๑ (๓) ก าหนดใหมการอางองขอปฏบตทเกยวของในระเบยบของกองทพบกฉบบนไวในสญญาจางเพอใหผรบจางปฏบตตามอยางเครงครด (๔) ก าหนดใหมการท าสญญาการไมเปดเผยขอมลส าคญทไดรบจากกองทพบกใหแกผอน (๕) ส าหรบบรการตางๆ ทเปนงานใหบรการตามวงรอบระยะเวลาทก าหนดไว หรอตามค ารองขอจากหนวยงานผวาจาง เชน บรการบ ารงรกษาฮารดแวร บรการแกไขปญหาฮารดแวร บรการแกไขปญหาระบบงาน บรการจางในลกษณะ Help Desk ใหก าหนดรายละเอยดการบรการหรอตามทกองทพบกก าหนด ลงไวในสญญาจางดงน (๕.๑) รายละเอยดของบรการ (๕.๒) ระดบการใหบรการ (Service Level Agreement) (๕.๓) ผรบผดชอบในการเฝาระวงหรอตดตามการใหบรการ (๕.๔) วธการตดตามการใหบรการ (๕.๕) วงรอบระยะทชดเจนของการทบทวนการปฏบตงาน เชน ทกๆ ๓ เดอน เปนตน (๕.๖) รปแบบของรายงานทตองการและความถในการจดสงรายงาน (๖) ก าหนดใหมการตดตามการใหบรการตามขอ (๕)อยางสม าเสมอ และบนทกผลการตดตามนนไวดวย

Page 28: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๘ -

(๗) ทบทวนการใหบรการตามขอ (๕) จากผลการปฏบตงานในชวงเวลาทผานมาหรอผลทไดบนทกไว รองขอใหผใหบรการปรบปรงการใหบรการเพมเตมตามทตองการ และ/หรอ แกไขสญญาจางตามความเหมาะสมและจ าเปน (๘) กรณการจางพฒนาซอฟตแวรหรอระบบงานโดยหนวยงานภายนอก (Outsourced software development) ใหปฏบตตามแนวทางดงน (๘.๑) ก าหนดใหมการระบขอก าหนดดานความมนคงปลอดภยของซอฟตแวรหรอระบบงานทจะท าการพฒนา ขนมาอยางเปนลายลกษณอกษร (๘.๒) ควรพจารณาระบวาใครจะเปนผมสทธในทรพยสนทางปญญาส าหรบชดค าสง (Source Code) ในการพฒนาซอฟตแวรทมการจดจางด าเนนการจากผรบจางภายนอก (๘.๓) ควรพจารณาก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความถกตองของซอฟตแวรทจะมการพฒนาโดยผรบจางภายนอกโดยระบไวในสญญาจางทท ากบผรบจางภายนอกนน (๘.๔) ใหมการตรวจสอบชดค าสงทไมพงประสงคในซอฟตแวรตางๆ ทถกพฒนาขนกอนด าเนนการตดตงหรอทดสอบการใชงานจรง

หมวด ๑๓ การตรวจสอบการใชงานระบบ (Monitoring System Use)

ขอ ๕๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการประเมนความเสยงส าหรบระบบเทคโนโลยสารสนเทศทใชงานเพอก าหนดแนวทางในการเฝาระวงและดแลระบบเหลานน และก าหนดใหมการเฝาระวงและดแลระบบเทคโนโลยสารสนเทศใหสอดคลองกบกฎหมายระเบยบ ขอบงคบ หรอขอก าหนดอนๆ ทหนวยตองปฏบตตามอยางสม าเสมอ โดยการตรวจสอบดงตอไปน (๑) ชอบญชผใชงาน (๒) กจกรรมการใชงานและประเภทของกจกรรม (๓) วน/เวลาทเขาถง (๔) แฟมขอมลหรอขอมลทถกเขาถง (๕) โปรแกรมทวไปและอรรถประโยชนตางๆ (Utilities) ทถกเรยกใชงาน (๖) การใชบญชผใชงานในระดบสง เชน Supervisor, Root, Administrator เปนตน (๗) การเปด-ปดการท างานของระบบ (๘) การถอดถอนหรอตดตงอปกรณส าหรบน าเขาและสงออกขอมล (I/O) เชน ฮารดดสก เปนตน (๙) การใชค าสงของผใชงานทไดรบการปฏเสธโดยระบบ เชน พยายามใชค าสงทงทไมมสทธ การพยายามเขาถงระบบอยางไมถกตอง เปนตน (๑๐) ความพยายามในการเขาถงขอมลหรอทรพยากรของระบบทไดรบการปฏเสธโดยระบบ (๑๑) การแจงเตอนจากไฟรวอลลหรอระบบปองกนการบกรก (๑๒) การแจงเตอนจากอปกรณแจงเตอน (Console) ของผดแลระบ (๑๓) การแจงเตอนเมอระบบท างานผดปกต เชน ฮารดดสกเตม เปนตน

Page 29: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๒๙ -

(๑๔) การแจงเตอนจากโปรแกรมบรหารจดการเครอขาย (๑๕) การแจงเตอนการท างานของระบบลมเหลวหรอหยดชะงก (๑๖) ความพยายามในการเปลยนแปลงคาการตดตงระบบ(Configuration) ดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

หมวด ๑๔ การใชงานเครองคอมพวเตอรสวนบคคลและอปกรณคอมพวเตอร (Use of Personal Computers and Computer Devices)

ขอ ๕๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการใชงานทวไป (๑) เครองคอมพวเตอรทหนวยอนญาตใหผใช ใชงานเปนสงอปกรณหรอทรพยสนของกองทพบก ดงนนผใชจงควรใชงานเครองคอมพวเตอรอยางมประสทธภาพเพองานของกองทพบกเทานน (๒) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของหนวย ตองเปนโปรแกรมทกองทพบกไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนนหามผใชคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย (๓) ไมอนญาตใหผใชท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรสวนบคคลของหนวยงาน (๔) ไมอนญาตใหผใชงานท าการตดตงอปกรณคอมพวเตอรใดๆ เขาไปในระบบและเครอขายคอมพวเตอรของกองทพบก (๕) การเคลอนยายหรอสงเครองคอมพวเตอรสวนบคคลตรวจซอมจะตองด าเนนการโดยเจาหนาทของหนวยงานเทคโนโลยสารสนเทศ หรอผรบจางเหมาบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบกองทพบกเทานน ๖) กอนการใชงานสอบนทกพกพาตาง ๆ ตองมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส (๗) ผใชมหนาทและรบผดชอบตอการดแลรกษาความปลอดภยของเครอง ขอ ๕๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการใชรหสผาน ดงน (๑) ใหผใชปฏบตตามแนวทางการบรหารจดการรหสผานทระบไวในเอกสารทหนวยทรบผดชอบระบบงานสารสนเทศเปนผก าหนดขน ขอ ๕๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการปองกนจากโปรแกรมหรอชดค าสงไมพงประสงค (Malware) ดงน (๑) ผใชงานควรตรวจสอบหาไวรสจากสอตาง ๆ เชน Floppy Disk, Thumb Drive และ Data Storage อน ๆ เปนตน กอนน ามาใชงานรวมกบเครองคอมพวเตอรของกองทพบก (๒) ผใชงานควรตรวจสอบแฟม (File) ทแนบมากบจดหมายอเลกทรอนกส (E-mail) หรอแฟม (File) ทไดรบ (Download) มาจากอนเทอรเนตดวยโปรแกรมปองกนไวรสกอนใชงาน (๓) ผใชควรตรวจสอบขอมลคอมพวเตอรทมชดค าสงไมพงประสงครวมอยดวย ซงมผลท าใหขอมลคอมพวเตอรหรอระบบคอมพวเตอรหรอชดค าสงอนๆ เกดความเสยหาย ถกท าลาย แกไขเปลยนแปลง หรอปฏบตงานไมตรงตามค าสงทก าหนดไว

Page 30: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๐ -

ขอ ๕๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการส ารองขอมลและการกคนดงน (๑) ผใชงานคอมพวเตอรตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอนๆ เชน CD, DVD, External Hard Disk เปนตน (๒) ผใชงานคอมพวเตอรมหนาทเกบรกษาสอขอมลส ารอง(Backup Media) ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ

หมวด ๑๕ การใชงานเครองคอมพวเตอรแบบพกพา

(Use of Notebook Computer)

ขอ ๕๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตการใชงานทวไป ดงน (๑) เครองคอมพวเตอรแบบพกพาทกองทพบกอนญาตใหผใชใชงานเปนสงอปกรณหรอทรพยสนของกองทพบก ดงนนผใชจงควรใชงานเครองคอมพวเตอรแบบพกพาอยางมประสทธภาพเพองานของกองทพบกเทานน (๒) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรแบบพกพาของกองทพบกตองเปนโปรแกรมทกองทพบกไดซอลขสทธถกตองตามกฎหมาย ดงนนหามผใชคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรแบบพกพาหรอแกไขหรอน าไปใหผอนใชงานโดยผดกฎหมาย (๓) ผใชควรศกษาและปฏบตตามคมอการใชงานอยางละเอยดเพอการใชงานอยางปลอดภยและมประสทธภาพ (๔) ไมดดแปลงแกไขสวนประกอบตาง ๆ ของคอมพวเตอรและรกษาสภาพของคอมพวเตอรใหมสภาพเดม (๕) ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพา ควรใสกระเปาส าหรบเครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างาน หรอหลดมอ เปนตน (๖) หลกเลยงการใชนวหรอของแขง เชน ปลายปากกา ปลายดนสอ เปนตน กดสมผสหนาจอแสดงผลใหเปนรอยขดขวนหรอท าใหจอแสดงผลของเครองคอมพวเตอรแบบพกพาแตกเสยหายได (๗) ไมวางของทมน าหนกมากทบบนหนาจอแสดงผลและแปนพมพ (๘) การเชดท าความสะอาดหนาจอแสดงผลควรเชดอยางเบามอทสด และควรเชดไปในแนวทางเดยวกนหามเชดแบบหมนวน เพราะจะท าใหหนาจอแสดงผลมรอยขดขวนได ขอ ๕๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดความปลอดภยทางดานกายภาพ ดงน (๑) ผใชมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรเกบเครองไวในสถานททมอปกรณปองกนขณะทไมไดใชงาน ไมวางเครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย เปนตน (๒) ผใชไมเกบหรอใชงานคอมพวเตอรแบบพกพาในสถานททมความรอนความชนฝนละอองสงและตองระวงปองกนการตกกระทบ

Page 31: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๑ -

ขอ ๕๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการควบคมการเขาถงระบบปฏบตการ ดงน (๑) ผใชตองก าหนดชอผใชงาน (User name) และรหสผาน (Password) ในการเขาใชงานระบบปฏบตการของเครองคอมพวเตอรแบบพกพา (๒) ผใชควรก าหนดรหสผานใหมคณภาพดอยางนอยตามทระบไวในเอกสารของหนวยทรบผดชอบระบบงานสารสนเทศเปนผก าหนดขน (๓) ผใชควรตงการใชงานโปรแกรมรกษาหนาจอแสดงผล(Screen Saver) โดยตงเวลาในกรณไมไดใชงานในหวงระยะเวลาขณะหนง เชน ตงไว ๑๐ นาท เปนตน ใหท าการปดกนการใชงาน (Lock) ส าหรบหนาจอแสดงผล หลงจากนนเมอตองการใชงานผใชตองใสรหสผาน (๔) ผใชตองท าการ Logout ออกจากระบบทนทเมอเลกใชงานหรอไมอยทหนาจอแสดงผลเปนเวลานาน (๕) หามบนทกชอผใชงานและรหสผานไวบนสถานททพบเหนไดงาย เชน บนทกไวบนอปกรณคอมพวเตอร บนทกไวบนโตะท างาน เปนตน ขอ ๕๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการใชรหสผาน ดงน (๑) ใหผใชปฏบตตามแนวทางการบรหารจดการรหสผานทระบไวในเอกสารของหนวยทรบผดชอบระบบงานสารสนเทศเปนผก าหนดขน ขอ ๖๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการส ารองขอมลและการกคน ดงน (๑) ผใชควรท าการส ารองขอมลจากเครองคอมพวเตอรแบบพกพา โดยวธการและสอตาง ๆ เพอปองกนการสญหายของขอมล (๒) ผใชควรจะเกบรกษาสอส ารองขอมล (Backup media) ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมล (๓) แผนสอส ารองขอมลตาง ๆ ทเกบขอมลไวจะตองท าการทดสอบการกคนอยางสม าเสมอ (๔) แผนสอส ารองขอมลทไมใชงานแลว ควรท าลายไมใหสามารถน าไปใชงานไดอก ใหปฏบตตามแนวทางการท าลายสอบนทกขอมลในหมวด ๘

หมวด ๑๖ การใชงานอนเทอรเนต (Use of the Internet)

ขอ ๖๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการใชงานอนเทอรเนตดงน (๑) ใหผดแลระบบก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขา ใชงานอนเทอรเนต ทตองเชอมตอผานระบบรกษาความปลอดภย เชน Proxy, Firewall, IPS/IDS เปนตน (๒) เครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรพกพากอนท า การเชอมตออนเทอรเนตเพอใชงานโปรแกรมเขาชมเวบไซต (Web Browser) ตองมการตดตงโปรแกรมปองกนไวรส และท าการอดชองโหวของระบบปฏบตการทโปรแกรมเขาชมเวบไซตตดตงอยกอนการใชงาน

Page 32: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๒ -

(๓) ผใชตองไมใชเครอขายอนเทอรเนตของกองทพบก เพอหาประโยชนในเชง ธรกจ สวนตวและการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาทขดตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม เปนตน (๔) ผใชจะถกก าหนดสทธในการเขาถงแหลงขอมลตามหนาทความรบผดชอบ เพอประสทธภาพของเครอขายและความปลอดภยทางขอมลของกองทพบก โดยผานความเหนชอบจากผบงคบบญชา (๕) หามผใชเปดเผยขอมลส าคญทเปนความลบทางราชการและทเกยวของกบกองทพบกโดยไมไดรบอนญาตอยางเปนทางการผานเครอขายอนเทอรเนต เชน เอกสารทก าหนดชนความลบ รางหนงสอ ประกาศหรอค าสงตางๆ เอกสารการบรรยายสรปทเกยวของกบความมนคงฯ เอกสารทเปนสออเลกทรอนกสตางๆทเกยวของกบความมนคงฯ เปนตน (๖) ผใชมหนาทตรวจสอบความถกตองและความนาเชอถอของขอมลคอมพวเตอรทอยบนอนเทอรเนตกอนน าขอมลไปใชงาน (๗) การใชงานกระดานสนทนา (Web Board) ของหนวย ผใชตองไมเปดเผยขอมลทส าคญ ขอมลสวนบคคล และเปนความลบของทางราชการ โดยไมไดรบอนญาต รวมทงตองไมบนทกขอมลทเปนการใสราย ใหรายบคคลอน และการบนทกขอมลทผดกฎหมายตางๆ (๘) หลงจากใชงานอนเทอรเนตเสรจเรยบรอยแลว ใหท าการออกจากระบบ (Logout) เพอปองกนการเขาใชงานโดยบคคลอนๆ (๙) ผใชตองปฏบตตาม พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ อยางเครงครด ขอ ๖๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดมาตรการปองกนและรกษาความปลอดภยจากการเชอมตออนเทอรเนตความเรวสงดงน (๑) การขอเปดใชบรการเชอมตออนเตอรเนตความเรวสง ผานโทรศพทเลขหมายเอกชน หนวยผขอใชจะตองเสนอขออนมตกองทพบกผานกรมการทหารสอสารเพอพจารณาความเหมาะสมและความจ าเปนในการใชงานตอไป (๒) การเชอมตออนเตอรเนตความเรวสง จะตองไมเชอมตอกบเครองคอมพวเตอรของทางราชการทเชอมตอกบเครอขายภายในกองทพบก (Intranet) หรอเครองคอมพวเตอรสวนตวทมขอมลขาวสารของกองทพบก ทเปนชนความลบ และ/หรอขอมลทอาจสงผลกระทบดานความมนคงของประเทศโดยเดดขาด ขอ ๖๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดเกบขอมลการจราจรทางคอมพวเตอร กรณทมการใหบรการเขาถงระบบอนเทอรเนตจากภายในหนวยงาน โดยการจดเกบขอมลจราจรทางคอมพวเตอรใหเปนไปตาม พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ และตามประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. ๒๕๕๐

หมวด ๑๗ การใชงานจดหมายอเลกทรอนกส

(Use of Electronic Mail) ขอ ๖๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการสงจดหมายอเลกทรอนกส ดงน

Page 33: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๓ -

(๑) ผดแลระบบตองก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสของกองทพบกใหเหมาะสมกบการเขาใชบรการของผใชระบบและหนาทความรบผดชอบของผใช รวมทงมการทบทวนสทธการเขาใชงานอยางสม าเสมอเชน การเปลยนต าแหนง เปลยนตนสงกด การลาออกจากราชการ การเกษยณอาย เปนตน (๒) ผดแลระบบตองก าหนดสทธบญชรายชอผใชรายใหมและรหสผาน ส าหรบการใชงานครงแรก เพอใชในการตรวจสอบตวตนจรงของผใชระบบจดหมายอเลกทรอนกสของกองทพบก (๓) การก าหนดรหสผานทด (Good Password) มแนวทางปฏบตตามทระบไวในเอกสารของหนวยทรบผดชอบระบบงานสารสนเทศเปนผก าหนดขน (๔) รหสผานของจดหมายอเลกทรอนกส เวลาใสรหสผานตองไมปรากฎหรอแสดงรหสผานออกมา แตตองแสดงออกมาในรปของสญลกษณแทนตวอกษรนน เชน “X” หรอ “O” ในการพมพแตละตวอกษร (๕) ผใชงานตองใชจดหมายอเลกทรอนกสของกองทพบก หรอ จดหมายอเลกทรอนกส (E-mail) ของภาครฐเพอใชในการตดตองานราชการ (๖) ผใชไมควรตงคาการใชโปรแกรมชวยจ ารหสผานสวนบคคลอตโนมต (Save Password) ของระบบจดหมายอเลกทรอนกส (๗) ผใชควรมการเปลยนรหสผานอยางเครงครด เชน ควรเปลยนรหสผานทก ๓-๖ เดอน เปนตน (๘) ผใชควรระมดระวงในการใชจดหมายอเลกทรอนกสเพอไมใหเกดความเสยหายตอกองทพบกหรอละเมดลขสทธ สรางความนาร าคาญตอผอน หรอผดกฎหมาย หรอละเมดศลธรรม และไมแสวงหาประโยชน หรออนญาตใหผอนแสวงหาผลประโยชนในเชงธรกจจากการใชจดหมายอเลกทรอนกสผานระบบเครอขายของกองทพบก (๙) หลงจากการใชงานระบบจดหมายอเลกทรอนกสเสรจสน ผใชควรท าการ ออกจากระบบ(Logout) ทกครง เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส (๑๐) ผใชควรท าการตรวจสอบเอกสารทแนบจากจดหมายอเลกทรอนกสกอนท าการเปด เพอท าการตรวจสอบแฟมขอมลโดยใชโปรแกรมปองกนไวรส เปนการปองกนในการเปดแฟมขอมลทเปน Executable File เชน .exe, .com เปนตน (๑๑) ผใชไมเปดหรอสงจดหมายอเลกทรอนกสหรอขอความทไดรบจากผสงทไมรจก (๑๒) ผใชควรตรวจสอบตเกบจดหมายอเลกทรอนกสของตนเองทกวนและควรจดเกบแฟมขอมลและจดหมายอเลกทรอนกสของตนใหเหลอจ านวนนอยทสด (๑๓) ผใชควรลบจดหมายอเลกทรอนกสทไมตองการออกจากระบบเพอลดปรมาณการใชเนอทระบบจดหมายอเลกทรอนกส

หมวด ๑๘ การใชงานทรพยสนทางปญญา

(Use of Intellectual Property) ขอ ๖๕ ผใชงานระบบสารสนเทศของกองทพบกควรจะตองปฏบตตามเงอนไขการใชงานและไมละเมดทรพยสนทางปญญาของผอน ดงน (๑) ปฏบตตามเงอนไขการใชงานหรอทก าหนดไวของซอฟตแวรหรอทรพยสนทางปญญาอนๆ ทกองทพบก หรอผใชงานมใชงานหรอครอบครอง

Page 34: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๔ -

(๒) หามท าซ า เปลยนแปลง หรอแกไขทรพยสนทางปญญาไปสรปแบบอนทเปนการละเมดเงอนไขหรอขอตกลงการใชงาน (๓) หามส าเนาทงหมดหรอบางสวนของหนงสอ บทความ เพลง ภาพยนตร รายงาน หรอเอกสารอนๆ ทเปนการละเมดเงอนไขของเจาของทรพยสนทางปญญา

หมวด ๑๙ การควบคมการเขาถงระบบเครอขายไรสาย

(Wireless LAN Access Control) ขอ ๖๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการควบคมการเขาถงระบบเครอขายไรสายดงน (๑) ผใชทตองการเขาถงระบบเครอขายไรสายภายในกองทพบกจะตองท าการลงทะเบยนกบผดแลระบบและตองไดรบการพจารณาอนญาตจากผบงคบบญชากอนการใชงาน (๒) ผดแลระบบตองท าการลงทะเบยนก าหนดสทธผใชงานในการเขาถงระบบเครอขายไรสายใหเหมาะสมกบหนาทความรบผดชอบในการปฏบตงานกอนเขาใชระบบเครอขายไรสาย รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ (๓) ผดแลระบบควรใชซอฟทแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ (๔) การระบอปกรณทจะเขาใชงานในเครอขายไรสายของกองทพบก นอกจากการลงทะเบยนการใชงานแลว จะตองแจงคา MAC address ของเครอง หรออปกรณทจะเขามาใชงาน เพอใหผรบผดชอบเครอขายไรสายของกองทพบก บนทกเปนหลกฐานการเขาใชงานตอไป

หมวด ๒๐ ระบบส ารองและแผนเตรยมความพรอมกรณฉกเฉน

(Backup System and Contingency Plan) ขอ ๖๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการคดเลอกและจดท าระบบส ารองและกคนระบบ ดงน (๑) ก าหนดระบบงานทมความจ าเปนตองส ารองขอมลไว (๒) ก าหนดผรบผดชอบในการส ารองขอมล (๓) ก าหนดชนดของขอมลทมความจ าเปนตองส ารองขอมลเกบไว อยางนอยตองประกอบดวย ขอมลในฐานขอมลของระบบ ขอมลส าหรบตวระบบ เชน ซอฟตแวรระบบปฏบตการ และซอฟตแวรอนๆ ทเกยวของ เปนตน (๔) ก าหนดความถในการส ารองขอมลของระบบงาน เชน ระบบงานทมการเปลยนแปลงบอย ควรมความถในการส ารองขอมลมากขน เปนตน (๕) ท าการส ารองขอมลตามความถทก าหนดไว และควรน าขอมลทส ารองไปเกบไวนอกสถานทอยางนอย ๑ ชด (๖) ท าการตรวจสอบวาการส ารองทเกดขนนน ส าเรจครบถวน หรอไม

Page 35: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๕ -

(๗) ท าการทดสอบกคนขอมลทส ารองไวอยางนอยปละ ๑ ครง รวมทงด าเนนการทดสอบวาระบบงานทงหมดสามารถใชงานได หรอไม (๘) แนวทางปฏบตส าหรบการส ารองขอมล ดงน (๘.๑) ผดแลระบบตองจดใหมการส ารองและทดสอบขอมลทส ารองเกบไวอยางสม าเสมอและใหเปนไปตามแนวทางการส ารองขอมลของกองทพบก (๘.๒) การจดท าบนทกการส ารองขอมล (Operator logs) ผดแลระบบตองท าบนทกรายละเอยดการส ารองขอมล ไดแก เวลาเรมตนและสนสด ชอผส ารอง ชนดของขอมลทบนทก เปนตน (๘.๓) การรายงานขอผดพลาด (Fault logging) ผดแลระบบตองท ารายงานขอผดพลาดจากการส าราองขอมลทเกดขน รวมทงวธการทใชแกไขดวย (๘.๔) ใหผดแลระบบมอบหมายหนาทการส ารองขอมลแกเจาหนาทคนอนไวส ารองในกรณทผดแลระบบและ/หรอผดแลเครอขายไมสามารถปฏบตงานได (๘.๕) ในกรณพบปญหาในการส ารองขอมลจนเปนเหตไมสามารถด าเนนการอยางสมบรณได ใหด าเนนการแกไขปญหาและสรปผลการแกไขปญหาและรายงานตอผรบผดชอบระบบสารสนเทศของหนวยทราบ (๘.๖) ใหผดแลระบบและผดแลเครอขายก าหนดชนดและชวงเวลาการส ารองขอมลตามความเหมาะสมพรอมทงก าหนดสอทใชเกบขอมล โดยรปแบบการส ารองขอมลมสองชนดคอการส ารองขอมลแบบเตม (Full Backup) และการส ารองขอมลแบบสวนตาง (Incremental Backup) (๘.๗) การเขารหสขอมลส าคญในการส ารองขอมล (Encrypted backup) ผดแลระบบตองจดใหมการเขารหสขอมลส ารองทส าคญ โดยการใชเทคโนโลยการเขารหสทเหมาะสมเพอปองกนมใหขอมลส ารองเหลานนถกเปดเผย (๘.๘) แนวทางทตองปฏบตเกยวของกบการส ารองขอมล (Backup Policy) ผดแลระบบตองปฏบตตามขนตอนปฏบต Backup Procedure โดยเครงครด (๘.๙) ส าหรบความถในการส ารองขอมลมดงน

รายการ ขอมลทตองส ารอง ความถในการส ารอง ระบบ E-mail คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมลในสวน Mailbox ๑ ครงตอเดอน Web Server คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมลตางๆ ทเผยแพรบนเวบไซต ๑ ครงตอเดอน Database Server คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ฐานขอมลทมความส าคญ ๑ ครงตอสปดาห อปกรณ Firewall คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมล Rule ของอปกรณนน ๑ ครงตอเดอน อปกรณ IDS/IPS คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมล Rule ของอปกรณนน ๑ ครงตอเดอน อปกรณ Server อนๆ คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมลทมความส าคญของระบบงานทถกเกบในอปกรณตางๆเหลานน

๑ ครงตอเดอน

Page 36: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๖ -

(๘.๑๐) ผดแลระบบและผดแลเครอขายสารสนเทศ รบผดชอบความถกตองและความสมบรณของขอมล ตามความถในขอ (๘.๙) (๙) แนวทางปฏบตส าหรบการกคนระบบ ดงน (๙.๑) ในกรณพบปญหาทอาจสรางความเสยหายตอระบบคอมพวเตอรและ/หรอระบบเครอขายจนเปนเหตท าใหตองด าเนนการกคนระบบใหผดแลระบบและ/หรอผดแลเครอขายด าเนนการแกไขรายงานผลการแกไขพรอมทงบนทกและใหรายงานสรปผลการปฏบตงานตอผรบผดชอบระบบสารสนเทศของหนวย หรอผทไดรบมอบหมายทราบ (๙.๒) ใหใชขอมลทนสมยทสด (Latest Update) ทไดส ารองไวหรอตามความเหมาะสมเพอกคนระบบ (๙.๓) หากความเสยหายทเกดขนกบระบบคอมพวเตอรหรอระบบเครอขายกระทบตอการใหบรการหรอการใชงานของผใชระบบใหแจงผใชงานทราบทนท พรองทงรายงานความคบหนาการกคนระบบเปนระยะ จนกวาจะด าเนนการเสรจสนอยางสมบรณ ขอ ๖๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางเตรยมความพรอมกรณเกดเหตฉกเฉน ดงน (๑) ก าหนดระบบงานทมความส าคญทงหมดของกองทพบก และจดท าเปนบญชรายชอของระบบงาน ดงกลาวรวมทงปรบปรงบญชรายชอนใหมความทนสมยอยเสมอตามระบบงานทมความส าคญทเกดขนใหม

(๒) ประเมนความเสยงส าหรบระบบงานทมความส าคญเหลานน และก าหนดมาตรการเพอลดความเสยงทพบ โดยใหปรบปรงรายงานการประเมนความเสยงอยางนอยปละ ๑ ครง (๓) ก าหนดชนดของขอมล เชน ซอฟตแวรตาง ๆ ทเกยวของกบระบบงาน และขอมลในฐานขอมล เปนตน รวมถงก าหนดความถในการส ารองขอมล วธการส ารองขอมล เชน แบบ Full Backup หรอแบบ Incremental Backup เปนตน ส าหรบระบบงานทมความส าคญเหลานน (๔) จดท าแผนเตรยมความพรอมกรณเกดเหตฉกเฉน(Contingency Plan) เพอรบมอกบภยพบต ทอาจเกดขนได ทงวธการทางอเลกทรอนกส และทางกายภาพ อกทงใหก าหนดหวงในการทดสอบแผนดงกลาวในหวงวงรอบ ๖ เดอน ของทกๆ ป โดยแผนฯ ตองมรายละเอยดอยางนอยดงตอไปน (๔.๑) การก าหนดหนาท และความรบผดชอบตอผทเกยวของทงหมด (๔.๒) การประเมนความเสยงส าหรบระบบงานทมความส าคญเหลานน และก าหนดมาตรการเพอลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงท าใหไมสามารถเขามาใชระบบงานได เปนตน (๔.๓) การก าหนดขนตอนปฏบตในการกคนระบบงาน (๔.๔) การก าหนดขนตอนปฏบตในการส ารองขอมลและทดสอบกคนขอมลทส ารองไว (๔.๕) การก าหนดชองทางในการตดตอสอสารกบผใหบรการภายนอกเชน ผใหบรการเครอขาย ฮารดแวร ซอฟตแวร เปนตน เมอเกดเหตจ าเปนทจะตองตดตอในกรณเกดเหตฉกเฉนตางๆ เชน เกดอคคภย การกอวนาศกรรม เปนตน (๔.๖) การสรางความตระหนกหรอใหความรแกเจาหนาทผทเกยวของกบขนตอนการปฏบตหรอสงทตองท าเมอเกดเหตเรงดวน (๕) ใหท าการปรบปรงแผนเตรยมความพรอมกรณเกดเหตฉกเฉนอยางนอยปละ ๑ ครง โดยมงเนนไปทระบบทมความส าคญสง

Page 37: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๗ -

(๖) ใหท าการส ารองขอมลตามชนด ความถ และ วธการส ารองทไดก าหนดไว และใหตรวจสอบอยาง สม าเสมอวาขอมลทส ารองไปนนมความครบถวน (๗) ใหท าการทดสอบกคนขอมลทส ารองไวนนวาสามารถกคนไดอยางครบถวนหรอไมอยางนอยปละ ๑ ครง ถาพบวามปญหาเกดขนในระหวางการทดสอบกคน ใหด าเนนการแกไข และ บนทกขอมลปญหานนไว พรอมทงวธการแกไขอยางเปนลายลกษณอกษร (๘) ใหจดประชมและแจงใหผทเกยวของทงหมดไดรบทราบรายละเอยดของแผนเตรยมความพรอมกรณเกดเหตฉกเฉนรวมทงเมอมการปรบปรงแผนเตรยมความพรอมกรณเกดเหตฉกเฉนใหมจะตองจดประชมใหมและแจงใหผทเกยวของทราบเชนเดยวกน

หมวด ๒๑ การตรวจสอบและประเมนความเสยง

ดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ ขอ ๖๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองจดใหมการตรวจสอบดานความมนคงปลอดภยของขอมล ระบบสารสนเทศและเครอขายคอมพวเตอรทตนเองรบผดชอบอยางสม าเสมอ ดงน (๑) ตรวจสอบและประเมนดานการบรหารทรพยสนดานเทคโนโลยสารสนเทศ (๒) ตรวจสอบและประเมนดานกายภาพและสงแวดลอม (๓) ตรวจสอบและประเมนดานระบบเทคโนโลยสารสนเทศและการสอสารขอมลและการปฏบตการ (๔) ตรวจสอบและประเมนการควบคมการเขาถง (๕) ตรวจสอบและประเมนดานการพฒนาระบบงานสารสนเทศ เชน ดานการจดซอจดจางพฒนาระบบฯ รวมทงดานการดแลระบบงานสารสนเทศ เปนตน (๖) ตรวจสอบและประเมนดานความพรอมการรบมอกบเหตการณเฉพาะหนา (๗) ตรวจสอบความสอดคลองกบระเบยบฉบบนและทางเทคนคกบระเบยบฉบบน ขอ ๗๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองจดใหมการประเมนความเสยงตอทรพยสนสารสนเทศ ซงประกอบดวยทรพยสน ๕ หมวด ไดแก บคลากร ฮารดแวร ซอฟตแวร ขอมล และระบบงาน ทหนวยรบผดชอบอยางนอยปละ ๑ ครง โดยปฏบตตามแนวทางการประเมนดงน (๑) ก าหนดใหมการจดท าบญชทรพยสนสารสนเทศ (๒) ระบและประเมนความเสยงตอทรพยสนสารสนเทศ (๓) จดล าดบความเสยงจากสงมาต า (๔) จดท าแผนการลดความเสยงโดยค านงถงการจดการกบความเสยงสงกอน (๕) ก าหนดใหมการปฏบตตามแผนการลดความเสยงทก าหนดไวและตดตามจนกระทงแลวเสรจ (๖) ความรบผดชอบในการตรวจสอบและประเมนความเสยง (๖.๑) กรณการตรวจสอบภายในหนวยงานของกองทพบก (internal auditor) (๖.๑.๑) ใหผรบผดชอบระบบสารสนเทศภายในกองทพบก แตงตงหนวยงาน หรอคณะกรรมการส าหรบการตรวจสอบและประเมนความเสยงระบบสารสนเทศของกองทพบก (๖.๑.๒) วงรอบการตรวจสอบปละ ๑ ครง

Page 38: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๘ -

(๖.๑.๓) ภายหลงการตรวจสอบ ใหรายงานผลการตรวจสอบใหหนวยทไดรบการตรวจสอบ และผบงคบบญชาตามล าดบชนทราบตอไป (๖.๒) กรณผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (external auditor) (๖.๒.๑) ใหผรบผดชอบระบบสารสนเทศภายในกองทพบก พจารณาจดท าโครงการตรวจสอบและประเมนความเสยงระบบสารสนเทศของกองทพบก (๖.๒.๒) โดยใหมการจดจางด าเนนการในวงรอบรอบ ๑ ปงบประมาณ (๖.๒.๓) ภายหลงการตรวจสอบ ใหรายงานผลการตรวจสอบใหหนวยทไดรบการตรวจสอบ และผบงคบบญชาตามล าดบชนทราบตอไป

หมวด ๒๒ การบรหารจดการเหตการณดานความมนคงปลอดภย

ขอ ๗๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก เมอไดรบแจงจากผใชงานเกยวกบเหตการณทางดานความมนคงปลอดภยทเกดขนหรอทตรวจพบใหปฏบตตามขนตอนดงตอไปน (๑) ประเมนผลกระทบของเหตการณทเกดขนวามผลกระทบในระดบใด ไดแก ระดบสง ระดบกลาง หรอระดบต า (๒) แจงใหผบงคบบญชาตามล าดบชนไดรบทราบตามระดบของผลกระทบ กลาวคอ รายงานไปสระดบชนของผบงคบบญชาทสงขนตามล าดบส าหรบเหตการณทมผลกระทบสงกวา (๓) วเคราะหและแกไขสถานการณตามความจ าเปน กรณการบกรก การโจมตระบบ หรอระบบไดรบความเสยหาย กรณทไมสามารถวเคราะหและแกไขโดยหนวยงานเองได ใหประสานงานขอความชวยเหลอจากผทมความรและความเชยวชาญ เชน ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย (Thai CERT) หรอหนวยงานภายนอกอนๆ เปนตน (๔) กรณมความจ าเปนตองเกบหลกฐานทางคอมพวเตอร ใหผทผานการอบรมหรอฝกฝนเปนผด าเนนการเพอปองกนไมใหหลกฐานเกดความเสยหาย จดเกบหลกฐานไวในสถานททปลอดภย และจ ากดการเขาถงหลกฐานนน (๕) จดท ารายงานสรปเหตการณนบตงแตไดรบแจงเฉพาะเหตการณทมผลกระทบตงแตระดบปานกลาง ขนไปและแจงเวยนใหผทเกยวของไดรบทราบ โดยมขอมลอยางนอยในรายงานดงน (๕.๑) รายละเอยดเหตการณ (๕.๒) วนเวลาทเกดขน (๕.๓) ชอผแจง/หนวยงานผแจง (๕.๔) สถานะของเหตการณในแตละชวงเวลา (๕.๕) ความคบหนาในการด าเนนการในแตละชวงเวลา (๕.๖) สาเหตและวธการแกไข (๕.๗) ขอเสนอแนะเพอปองกนการเกดซ า

Page 39: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๓๙ -

หมวด ๒๓ หนาทและความรบผดชอบ

ขอ ๗๒ ความรบผดชอบของผบงคบบญชากรณทมการละเมดการปฏบตตามระเบยบน โดยเฉพาะในกรณระบบสารสนเทศหรอขอมลสารสนเทศเกดความเสยหายหรออนตรายใดๆ อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามระเบยบกองทพบกวาดวยการรกษาความปลอดภยสารสนเทศของกองทพบกพ.ศ.๒๕๕๔ ใหผบงคบบญชาสงสดในพนทและรบผดชอบระบบสารสนเทศของหนวย เปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน โดยมแนวทางปฏบตดงน (๑) ใหแจงรายงานการละเมดตามสายการบงคบบญชาใหหนวยเหนอและหนวยทเกยวของทราบ (๒) สงการสอบสวนหาตวผกระท าผดและผรบผดชอบโดยเรวทสด (๓) พจารณาแกไขขอบกพรองและปองกนมใหเหตการณเชนนอบตซ าอก (๔) ใหพจารณาสงการลงโทษทางวนยตามแบบธรรมเนยมทหารหรอด าเนนคดตามกฎหมายตอผละเมด ผเกยวของกบการละเมด และผรบผดชอบเมอมการละเมด หรอไมปฏบตตามระเบยบน จะโดยเจตนาหรอไมเจตนา และการละเมดนนจะเกดความเสยหายหรอยงไมเกดความเสยหายตอทางราชการกตาม ขอ ๗๓ ความรบผดชอบของหนวยงานทรบผดชอบระบบงานสารสนเทศ เมอไดรบแจงวาไดเกดการละเมดการรกษาความปลอดภย ใหสวนราชการเจาของระบบสารสนเทศด าเนนการดงน (๑) พจารณาวาขอมลสารสนเทศ เอกสารกรรมวธขอมลตางๆ ประมวลลบ หรอรหสผานทจ าเปนในการใช เครอขายสอสารขอมลสารสนเทศมผลกระทบกระเทอนหรอเกดเสยหายอยางใดหรอไม (๒) ขจดความเสยหายทเกดขนหรอคาดวาจะเกดขนจากการละเมดโดยทนทในการนอาจจะตองด าเนนการแกไขเปลยนแปลงแผนงานและวธปฏบตพรอมทงปจจยตาง ๆ ทเกยวของตามท เหนสมควร ขอ ๗๔ ความรบผดชอบของผใชงานตอระเบยบฉบบนมดงน (๑) ปฏบตตามระเบยบฯ อยางเครงครดและตองไมละเลยตอหนาทความรบผดชอบของตนเอง (๒) ไมเขาถง เปดเผย เปลยนแปลง แกไข หรอท าลายโดยไมไดรบอนญาต หรอท าใหเสยหายตอระบบคอมพวเตอรและเครอขายของกองทพบก (๓) ไมรบกวนหรอแทรกแซงการสอสารขอมลในเครอขายคอมพวเตอรของกองทพบก (๔) รายงานเหตการณความเสยง จดออน หรอเหตการณดานความมนคงปลอดภยทพบไปยงผบงคบบญชาและผรบผดชอบระบบงานสารสนเทศโดยเรวทสด ขอ ๗๕ ในกรณทการละเมดการรกษาความปลอดภยเกดผลกระทบกระเทอนเสยหายอยางรายแรงใหอยในดลพนจของของผบงคบบญชาสามารถแกไขเปลยนแปลงแผนงานและวธปฏบตหากจ าเปนใหรายงานหนวยเหนอไดตามความเหมาะสม

Page 40: (ร่าง) ระเบียบ กองทัพบก · (ร่าง) ระเบียบ กองทัพบก ว่าด้วยการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของกองทัพบก

- ๔๐ -

ขอ ๗๖ ใหสวนราชการทมศนยสารสนเทศหรอศนยกรรมวธขอมลอตโนมตอยในสงกด สามารถออกระเบยบปลกยอยไดโดยไมขดตอระเบยบน

ประกาศ ณ วนท ตลาคม พ.ศ. ๒๕๕๔

(ลงชอ) พลเอก (ประยทธ จนทรโอชา) ผบญชาการทหารบก


(ร่าง) ปก แผนแม่บทการสื่อสารและเทคโนโลยีสารสนเทศการแพทย์ ... · (ร่าง)

(ร่าง) ปก แผนแม่บทการสื่อสารและเทคโนโลยีสารสนเทศการแพทย์ ... · (ร่าง)

2 ระเบียบ สนง_การพัสดุ 2553

2 ระเบียบ สนง_การพัสดุ 2553

ข้อสอบเตรียมทหาร กองทัพบก ภาษาอังกฤษ 2548

ข้อสอบเตรียมทหาร กองทัพบก ภาษาอังกฤษ 2548

(ร่าง) กรอบทิศทางแผนการศึกษาแห่งชาติplan.crru.ac.th/web_planning/download_plan/plan_infor_univ/005.pdf · (ร่าง)

(ร่าง) กรอบทิศทางแผนการศึกษาแห่งชาติplan.crru.ac.th/web_planning/download_plan/plan_infor_univ/005.pdf · (ร่าง)

(ร่าง) ข้อบังคับคุรุสภา ว่าด้วยมาตรฐานวิชาชีพ พ.ศ. · (ร่าง) ข้อบังคับคุรุสภา

(ร่าง) ข้อบังคับคุรุสภา ว่าด้วยมาตรฐานวิชาชีพ พ.ศ. · (ร่าง) ข้อบังคับคุรุสภา

กม.ระเบียบ สำนวน

กม.ระเบียบ สำนวน

(ร่าง) โครงร่างองค์กร ( Organization Profile = OP) คณะ ... · (ร่าง) โครงร่างองค์กร ... ปฏิบัติงาน

(ร่าง) โครงร่างองค์กร ( Organization Profile = OP) คณะ ... · (ร่าง) โครงร่างองค์กร ... ปฏิบัติงาน

ร่าง TFRS 12 การเปิดเผยข้อมูลเกี่ยวกับ ส่วนได้เสียในกิจการอื่น · ร่าง

ร่าง TFRS 12 การเปิดเผยข้อมูลเกี่ยวกับ ส่วนได้เสียในกิจการอื่น · ร่าง

กฎหมาย ระเบียบ หนังสือเวียน ที่เกี่ยวข้องกับงานงบประมาณ

กฎหมาย ระเบียบ หนังสือเวียน ที่เกี่ยวข้องกับงานงบประมาณ

ผนวกประกอบ ระเบียบ ทบ. ว่าด้วยการส่งกำลังสิ่งอุปกรณ์ประเภท 3

ผนวกประกอบ ระเบียบ ทบ. ว่าด้วยการส่งกำลังสิ่งอุปกรณ์ประเภท 3

(ร่าง) แผนปฏิบัติราชการ ส า ... · 2019-05-30 · (ร่าง) แผนปฏิบัติราชการส านักงานปลัดกระทรวงมหาดไทย

(ร่าง) แผนปฏิบัติราชการ ส า ... · 2019-05-30 · (ร่าง) แผนปฏิบัติราชการส านักงานปลัดกระทรวงมหาดไทย

ร่าง - EGAT

ร่าง - EGAT

Loadแนวข้อสอบ ทหารกองหนุน กองทัพบก โดย กรมยุทธศึกษาทหารบก

Loadแนวข้อสอบ ทหารกองหนุน กองทัพบก โดย กรมยุทธศึกษาทหารบก

(ร่าง) ยุทธศาสตร์การจัดการ ...infofile.pcd.go.th/ped/100659.pdf · 2016. 6. 10. · (ร่าง) ยุทธศาสตร์การจัดการมลพิษ

(ร่าง) ยุทธศาสตร์การจัดการ ...infofile.pcd.go.th/ped/100659.pdf · 2016. 6. 10. · (ร่าง) ยุทธศาสตร์การจัดการมลพิษ

(ร่าง) คู่มือ แนวทางการด าเนิน ... · 2017-11-07 · (ร่าง) (ร่าง) 31 ตุลาคม 2560 คู่มือ

(ร่าง) คู่มือ แนวทางการด าเนิน ... · 2017-11-07 · (ร่าง) (ร่าง) 31 ตุลาคม 2560 คู่มือ

ระเบียบ ค่าใช้จ่ายในการฝึกอบรมค่าใชจ้่ายในการฝึกอบรม (ต่อ) การนับเวลาบรรยาย

ระเบียบ ค่าใช้จ่ายในการฝึกอบรมค่าใชจ้่ายในการฝึกอบรม (ต่อ) การนับเวลาบรรยาย

ร่าง กรอบการพิจารณา ... · ร่าง. กรอบการพิจารณาในการจัดท าแผนบริหารความเสี่ยง

ร่าง กรอบการพิจารณา ... · ร่าง. กรอบการพิจารณาในการจัดท าแผนบริหารความเสี่ยง

(ร่าง) รายงานการศึกษาผลกระทบ ... PR... · 2018-05-10 · (ร่าง) รายงานการศึกษาผลกระทบของการก

(ร่าง) รายงานการศึกษาผลกระทบ ... PR... · 2018-05-10 · (ร่าง) รายงานการศึกษาผลกระทบของการก

ระเบียบ มูลนิธิน้อมเกล้าเพื่อแผ่นดิน ว่าด้วย ศูนย์ประสานงานมูลนิธิฯ

ระเบียบ มูลนิธิน้อมเกล้าเพื่อแผ่นดิน ว่าด้วย ศูนย์ประสานงานมูลนิธิฯ

(ร่าง) แผนแม่บทภายใต้ ... · 2018. 12. 25. · ๑ (ร่าง) แผนแม่บทภายใต้ยุทธศาสตร์ชาติ

(ร่าง) แผนแม่บทภายใต้ ... · 2018. 12. 25. · ๑ (ร่าง) แผนแม่บทภายใต้ยุทธศาสตร์ชาติ